De internal auditor op de bijrijdersstoel bij complexe ICT-projecten

De internal auditor op de bijrijdersstoel bij complexe ICT-projecten

Auteur: Dr. Arno Nuijten RE CIA
Beeld: Thinkstock - Nubia Navarro - Erik Odiin
10 min

In dit artikel wordt op een verhalende manier verteld over het onderzoek dat bij Erasmus School of Accounting & Assurance (ESAA) is verricht rondom de vraag waarom mensen wel of niet geneigd zijn om te luisteren naar risicowaarschuwingen van de internal auditor. In het bijzonder wanneer het spannend wordt, zoals bij complexe op hol geslagen ICT-projecten. Er wordt een analogie gelegd met een vakantiereis naar Spanje met de internal auditor op de bijrijdersstoel.

In de beroepspraktijk van de internal auditor kan soms de volgende, bijna wanhopige, vraag opkomen: waarom wordt er niet geluisterd naar mijn indringende en onderbouwde waarschuwingen over risico’s die de organisatie loopt? In een tijd waarin veel geschreven wordt over de rol, de positionering en de bijdrage van internal auditors, lijkt dat een relevante vraag. Als namelijk op cruciale momenten niet geluisterd wordt naar de waarschuwingen van internal auditors, dan is dat toch een indicator ten aanzien van de effectiviteit van de interne auditfunctie binnen een organisatie?

Nog pijnlijker wordt het als waarschuwingssignalen van de internal auditor lange tijd terzijde worden geschoven, waardoor het risicovolle gedrag in de organisatie alleen maar toeneemt. En als dan uiteindelijk (veel te laat) hardhandig een eind komt aan op hol geslagen projecten of risicovol gedrag, vraagt de omgeving zich af: hoe heeft het zover kunnen komen? En  waar was Internal Audit?

Het lijkt alsof mensen in de organisatie niet willen luisteren naar waarschuwingen. Woorden als ‘ego’ en ‘alfamannetjes’ dienen zich al snel aan. Wie zich echter werkelijk in de vraag verdiept waarom er soms niet geluisterd wordt, weet dat het antwoord niet zo simpel ligt.

Doof voor risicowaarschuwingen

Natuurlijk beperkt dit fenomeen van ‘risicodoofheid’ zich niet tot de risicowaarschuwingen van internal auditors. Ook in andere situaties zijn mensen soms geneigd om waarschuwingen in de wind te slaan. Er zijn voorbeelden te over, van politiek tot voetbalclubs. Vaak leidt dit achteraf tot verwijten aan degenen die doof waren, soms meerdere keren. Het is dus niet alleen een relevant maar ook een gevoelig onderwerp. Een verwijtend vingertje naar diegenen die doof bleken voor risicowaarschuwingen is op voorhand slechts een deel van het verhaal. Doofheid voor dergelijke signalen kan namelijk iedereen overkomen. Voorbeelden uit het verkeer kunnen dit soort fenomenen goed duiden, velen zullen ze namelijk herkennen, bij zichzelf of in hun directe omgeving.

Het fenomeen ‘risicodoofheid’ beperkt zich niet tot de risicowaarschuwingen van internal auditors. Ook in andere situaties zijn mensen soms geneigd om waarschuwingen in de wind te slaan

Een voorbeeld: een paar jaar geleden moest de bumper van mijn auto vanwege parkeerschade vervangen worden. De schadehersteller vertelde dat opvallend veel bumpers met schade van die parkeersensoren hadden (net als die van mij). Blijkbaar voelen mensen zich met die dingen zo zeker dat, bijvoorbeeld bij haast, de aandacht verslapt en de waarschuwingspiep pas wordt gehoord ná de botsing. Of er wordt achteraf vol overtuiging beweerd dat hij – deze keer – niet op tijd gepiept heeft. We hebben het hier over een soort schijnzekerheid waardoor we de aandacht verliezen voor waarschuwingssignalen. Het voorbeeld laat zien dat er bij doofheid niet per se sprake is van onwil, maar dat het ook te maken kan hebben met verminderde gevoeligheid voor waarschuwingssignalen als gevolg van wat we begrensde rationaliteit noemen. We zijn minder rationeel dan we denken.

Complexe ICT-projecten als psychologisch mijnenveld

Door de ESAA wordt onderzoek gedaan naar besluitvorming in complexe ICT-projecten, iets waar veel internal auditors mee te maken hebben. Juist door die complexiteit mogen we een dergelijk project gerust als een psychologisch mijnenveld beschouwen. In het bijzonder richt het onderzoek zich op complexe ICT-projecten die een eigen leven zijn gaan leiden en schijnbaar niet meer gestopt of bijgestuurd kunnen worden.

Grote ICT-projecten hebben typische kenmerken: ze zijn vaak erg complex, gericht op de lange termijn, gaan gepaard met grote belangen, ze kosten veel, veel mensen zijn er bij betrokken en hebben er een mening over, ze herbergen vaak technologische onzekerheid en staan onder druk van buiten. Ook is de voortgang moeilijk waar te nemen, bijvoorbeeld in vergelijking met het bouwen van een huis. Natuurlijk zijn er vele andere soorten projecten die dezelfde kenmerken vertonen, maar het lijkt geen toeval dat juist grote ICT-projecten de naam hebben om op hol te slaan en onderweg de rode seinen voorbij te stevenen. Er gaat veel geld en energie verloren wanneer ze te laat of helemaal niet bijgestuurd worden, ook al is het doel van het project (de onderliggende businesscase) al lang uit beeld verdwenen.

Begrensd in vermogen

Juist door deze stapeling van afhankelijkheden, veranderlijkheid, onzekerheden en ambiguïteit is het onmogelijk om puur verstandelijk beslissingen te nemen waarbij opties en keuzen worden gewogen op hun consequenties. Mensen zijn nu eenmaal begrensd in hun vermogen om alle relevante informatie te verwerken. Daarom schiet ons rationele systeem in deze situaties tekort en maakt plaats voor ons ervaringssysteem. Op basis van eerdere ervaringen richten we onze aandacht op belangrijke zaken en laten ons leiden door vuistregels, heuristieken en intuïtie.

Bij complexe projecten zoeken we daarom juist de projectleider die in het verleden heeft bewezen zijn aandacht te kunnen richten op de zaken die nodig zijn om projecten tot een goed einde te brengen. En daarom zal die projectleider geneigd zijn om mensen om zich heen te verzamelen met wie hij dezelfde ervaringen heeft opgebouwd in eerdere projecten. Dit ervaringssysteem neemt ons bij de hand in het lopende project. De andere kant van de medaille van dit ervaringssysteem is dat het ons in sommige situaties ook bij de neus kan nemen, doordat al onze aandacht gevangen wordt door factoren die onze waarnemingen en inschattingen verstoren. Hier dient het psychologisch mijnenveld zich aan, denk daarbij aan het eerdergenoemde voorbeeld van de parkeerschade. De meest ervaren projectleiders zijn het meest kwetsbaar voor dergelijke verstorende invloeden: onze ervaringen gaan met onze waarneming aan de loop.

Over op hol slaande projecten en de vakantie naar Spanje

Het gezin zit al uren in de auto, onderweg naar de camping in het zuiden. Na 900 kilometer in de hitte geeft de bijrijder de chauffeur op stevige toon het dringende advies om op de volgende parkeerplaats te stoppen en een camping voor de nacht te zoeken. Maar de chauffeur ziet het advies vooral als een verwijt en hoort in gedachten al de hoon op het eerstvolgende familiefeestje. Gevolg: de chauffeur stampt juist nog wat harder op het gaspedaal, scheurt de parkeerplaats voorbij en de stemming in de auto is te snijden. Het doel van de reis, een prettige vakantie, is inmiddels allang achter de horizon verdwenen. Er zitten in dit voorbeeld wat kenmerken die ook terugkeren bij grote ICT-projecten die in zwaar weer dreigen te komen en die het psychologisch mijnenveld illustreren.

Alle focus op het dashboard – doelsubstitutie

Zo gauw mensen intensief met een complexe taak aan de slag gaan die hen uitdaagt of anderszins bezighoudt, wordt automatisch alle aandacht gefocust op het volbrengen van die taak. Zodra de chauffeur in het voorbeeld in de auto is gestapt op weg naar het zuiden, verdwijnt het doel van de reis, een plezierige vakantie, naar de achtergrond. Alle aandacht is nu gericht op het afronden van de reis zelf en wordt opgeslokt door de klok, de kilometers en de benzinemeter. Dit fenomeen wordt ‘doelsubstitutie’ genoemd: de vakantie als doel maakt plaats voor het doel om de reis af te ronden.

Bij complexe projecten zien we hetzelfde gebeuren. Zodra het project van start is gegaan, belandt de businesscase (het bestaansrecht en doel van het project) in de onderste la en alle aandacht wordt opgeslokt door de metertjes op het dashboard en de kilometers in de vorm van kleurenrapportages, tijdschema’s en opleverdata, %-complete indicatoren, voortschrijding in de kosten en eventuele budgetoverschrijdingen.

De businesscase als doel heeft plaats gemaakt voor het project als doel en alle aandacht wordt opgeslokt om deze klus te klaren. En juist doordat alle aandacht wordt opgeslokt door de kilometerteller en metertjes op het dashboard hebben mensen nauwelijks in de gaten hoe makkelijk hun ervaringssysteem daarmee op het verkeerde been gezet kan worden. Hier dienen zich de volgende psychologische mijnen aan.

Zodra het project van start is gegaan, belandt de businesscase  in de onderste la en alle aandacht wordt opgeslokt door kleurenrapportages, tijdschema’s, opleverdata, et cetera

We zien wat we verwachten
De eerste psychologische mijn die we nu tegenkomen heet cognitieve dissonantie, in dit verband ook wel aangeduid als ‘zelfbevestiging’. Onze aandacht wordt opgeslokt door datgene dat we verwachten te zien en dat bevestigt wat we van tevoren al dachten of vermoedden. Dat is geen moedwillige actie, maar ons ervaringssysteem maakt ons juist gevoelig voor signalen die eerdere ervaringen, indrukken of vooroordelen bevestigen en onderstrepen. De ervaren projectleider is gevoelig voor informatie die zijn ervaringen in voorgaande projecten bevestigt, maar hij is tamelijk ongevoelig voor gebeurtenissen die daarvan afwijken. Zijn mooie track record zit hem wat dat betreft in de weg. Zoals de ervaren chauffeur op weg naar Spanje zich zal laten leiden door zijn eerdere succeservaringen.

De metertjes op het dashboard sturen beslissingen
Omdat ons waarnemingssysteem zo gefocust is op het dashboard van het project, kunnen wij ook gemakkelijk op het verkeerde been gezet worden door subtiele wijzigingen in de metertjes op dat dashboard. Een presentatie die de aandacht vestigt op een vorm van verlies of achterstand leidt er onbewust toe dat wij meer de neiging krijgen tot risicozoekend gedrag. Een presentatie die de aandacht richt op een vorm van voorsprong of winnen leidt ertoe dat we juist meer de neiging hebben tot veilige en risicomijdende keuzen. Als de aandacht in hoge mate wordt gericht op de verlieskant van een risicovol project zijn we dus juist geneigd om door te blijven gaan met een risicovol avontuur.

We zien dit ook terug als een soort casinogedrag bij projecten, waarbij keer op keer ‘ingezet’ wordt als gevolg van het zogenaamde ‘sunk-costeffect’: ‘Dit project heeft al zoveel gekost dat we niet meer kunnen stoppen’. Doordat onze aandacht wordt opgeslokt door het verlies vanwege de reeds gemaakte projectkosten, neemt het commitment toe om te volharden in de voortzetting van het project. En naarmate we verder in deze fuik terechtkomen wordt de aantrekkingskracht om door te gaan steeds sterker.

Het completioneffect
Een andere psychologische mijn wordt gevormd door het zogenaamde completioneffect: de rapportages roepen het beeld op dat het project voor 90% gereed is. Door de beeldvorming dat we er ‘bijna zijn’ blijven we bereid om de investeringen te doen in ‘de laatste stap’. We zouden dit kunnen typeren als een soort afmaakgedrag. Meer dan eens blijkt een dergelijk project op 90% te blijven hangen en niet de afronding te benaderen.

Schijnzekerheid maakt zich van ons meester
Een ander mijnenveld heeft te maken met ‘illusion of control’ ofwel een soort van schijnzekerheid. Daarbij hebben wij het gevoel dat we een hogere mate van controle hebben over een situatie dan dat we feitelijk hebben. Wij zijn derhalve geneigd om onszelf vaardigheden toe te dichten op basis van waargenomen patronen en daaruit ontstane verwachtingen: ‘Ik heb al drie keer een zes met mijn dobbelsteen gegooid toen het nodig was, dus nu gaat me dat vast nog een keer lukken’. Als speler schudden we vol overtuiging de dobbelsteen en blazen er een keer op alvorens te werpen, alsof wij met dit dobbelsteengedrag als ritueel onze kans op succes kunnen sturen.

Er zijn vele factoren van invloed op het gevoel van controle (perceived control) die wij ondervinden in een situatie. De zichtbare aanwezigheid van allerlei controls brengt met zich mee dat betrokkenen de perceptie hebben meer controle over de situatie te hebben. En het interessante is dat mensen geneigd zijn om in zo’n situatie meer risico’s te nemen en mogelijk zelfs roekeloos gedrag te gaan vertonen.

De stap richting het ICT-project in ons voorbeeld is niet moeilijk te maken. Bij aanvang was gedetailleerd beschreven wat de uitkomst van het project moest worden. Op deskundige wijze was opgetekend hoe de processen, systemen, gegevens en techniek er aan het einde van het project zouden uitzien. Ook was uitvoerig beschreven hoe de reis daar naartoe zou gaan plaatsvinden en was een beproefde projectmethode gekozen. De ervaren projectleider wist sowieso al wat ons te wachten zou staan want hij had immers al vaker met dit bijltje gehakt. Al deze factoren dragen bij aan een gevoel van zekerheid dat de uitkomst behaald gaat worden en de situatie onder controle is. Niet in het minst heerst dit gevoel bij de projectleider zelf.

De internal auditor op de bijrijdersstoel

In het psychologisch mijnenveld van de bestuurder op weg naar Spanje introduceren wij nu iemand op de bijrijdersstoel die zich met de bestuurder en zijn reis gaat bemoeien en risicowaarschuwingen afgeeft. De variabele die we daaraan toevoegen is dat deze bijrijder gezien kan worden als meewerkend partner of als een tegenstander die de tekortkomingen van de bestuurder blootlegt. Vaak hebben bestuurder en bijrijder een historie met elkaar. Ook al is de inhoud van de boodschap hetzelfde, ons waarnemingssysteem filtert de boodschap door het beeld dat we van de boodschapper hebben.

Uit het ESAA-onderzoek blijkt dat het beeld van de bijrijder als partner of als tegenstander van invloed is op de neiging om naar die waarschuwing te luisteren. Ook is vastgesteld dat er een wisselwerking is met de eerdergenoemde factoren van ons psychologisch mijnenveld: namelijk 1) de manier waarop de boodschap wordt gepresenteerd, in termen van winst of verlies en 2) de mate van het gevoel van controle die de bestuurder meent te hebben.

Implicaties voor de praktijk van internal auditors

Wat betekent dit onderzoek voor de praktijk van internal auditors in het algemeen en als bijrijder bij complexe ICT-projecten in het bijzonder?

Allereerst blijkt dat strategisch partnerschap loont voor internal auditors om gehoord te worden op de momenten dat het echt spannend wordt. Opgemerkt moet worden dat de rol van operationeel partner (als internal auditor operationele werkzaamheden verrichten in projecten) op dergelijke momenten juist averechts kan werken: dus als bijrijder onderweg de boterhammen smeren voor de bestuurder helpt bepaald niet op momenten dat je je met de reis gaat bemoeien.

Ook blijkt uit het onderzoek dat het verstandig is waarschuwingen niet, zoals internal auditors gewend zijn, negatief in termen van verliezen/tekortkomingen te presenteren: ‘je haalt de planning niet’, ‘je voldoet niet aan je norm’, et cetera. Focus op verliezen zet mensen er namelijk toe aan om risico’s te blijven nemen. Dit kan juist doofheid voor risicowaarschuwingen in de hand werken.

Verder is het voor internal auditors van belang om een beeld te hebben van de ‘perceived control’ van de bestuurders van een ICT-project en schijnzekerheid op te merken bij de ervaren projectleider en projecten die zijn overladen met plannen, rapportages en procedures. Het psychologisch mijnenveld toont zich in signalen van opmerkelijk gedrag (denk aan gedrag van een overmoedige chauffeur in de auto of het eerder genoemde dobbelsteengedrag) en in kenmerkend woordgebruik, maar ook de timing van de boodschap is van belang.1

Samen met andere partijen, verricht ESAA vervolgonderzoek naar deze en andere factoren om doofheid voor risicowaarschuwingen te begrijpen en daarmee een bijdrage te leveren aan de effectiviteit van internal auditors in de praktijk. En hebt u er op uw werk niets aan, dan hebt u er misschien plezier van op vakantie.

Noot

  1. Benschop, Nuijten en Van der Pijl, ‘Het beeld achter de woorden’, M&O, nr. 4, pag. 59-75, 2015.

Over
Arno Nuijten is sinds 2012 wetenschappelijk directeur van de opleiding IT-Auditing & Advisory aan de Erasmus School of Accounting & Assurance en als onderzoeker verbonden aan de vakgroep Gedragseconomie. Hij is ruim 25 jaar werkzaam in diverse functies in internal auditing en IT-auditing alsmede in (interim-)management op het gebied van ICT-projecten.

Dit artikel is een verhalende weergave van het proefschrift van Arno Nuijten: Deaf Effect for Risk Warnings – A causal examination applied to information systems projects.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.

Lees meer over dit onderwerp:

Doen wat je leuk vindt

Juni 2019 op het IIA Congres was piloot en kunstvlieger Frank Versteegh een van de sprekers. In dit interview vertelt hij over zijn passie voor vliegen, risicomanagement en zijn eerste ervaringen met interne auditors. Het interview vindt plaats bij Versteegh thuis. Het huis waar hij geboren en getogen is. We zitten buiten op de veranda […]

Lees meer

OCEG’s GRC Capability Model

Internal Audit kan bij uitstek een verbindende rol spelen bij governance, risk management en compliance (GRC) vraagstukken. In dit artikel de meerwaarde van het GRC Capability Model (GCM) van de Open Compliance and Ethics Group (OCEG) voor de kennis en vaardigheden van internal auditors in die rol.

Lees meer