Gedrag als sleutel

Ken je de paarse krokodil? Een oude reclame, maar nog steeds het symbool voor doorgeslagen bureaucratie. In veel organisaties zien we dergelijke mechanismen. Regels en systemen worden een doel op zich, terwijl de kern van een integere en beheerste bedrijfsvoering bij menselijk gedrag ligt.

Het vakgebied bestuurlijke informatieverzorging richt zich in de kern op het structureren en ordenen van informatie en het krijgen van inzicht in processen. Het is historisch geworteld in een normatief paradigma: structuren, standaarden en controlemechanismen moesten voorspelbaarheid garanderen. De gedachte is dat een goede beheersing van processen leidt tot betrouwbare informatie. Van oudsher is het vakgebied georganiseerd rondom de informatie die tot stand komt vanuit de processen en vanuit de data/IT-omgeving. Zie figuur 1 voor een visuele weergave.

Er zijn grenzen

Deze benadering heeft veel gebracht, maar kent grenzen. In een complexe, dynamische wereld is het onmogelijk om alles dicht te regelen. Een voorbeeld: denk eens terug aan je audit findings van het afgelopen jaar, met daarin misschien wel overtredingen van beleid, risico’s die niet geëscaleerd zijn, niet aantoonbaar werken, override van controls, afdelingen die in silo’s werken, geen risico-escalaties, en ga zo maar door. Is de oorzaak hiervan dat structuren, processen, standaarden en IT niet goed zijn ingeregeld? Ik vrees dat het antwoord ontkennend is. De kern van de oorzaken laat zich eerder terugbrengen naar gedrag en cultuur.

Gedrag doet ertoe

De mens is geen machine. Hoe goed processen en systemen ook zijn ontworpen, uiteindelijk zijn het mensen die bepalen of ze werken zoals bedoeld. Gedrag is geen bijzaak, maar het startpunt van beheersing. Toch gaan veel organisaties uit van een rationeel mensbeeld: alsof medewerkers zich altijd regelgetrouw gedragen. De praktijk laat iets anders zien. Mensen nemen shortcuts, vermijden slecht nieuws of wijken bewust af van beleid. Niet uit onwil, maar omdat de werkelijkheid weerbarstig is.

Drie belangrijke boodschappen

Kijkend naar de huidige praktijk valt me steeds op dat de sleutel tot structurele verbetering niet in een nieuwe regel of nóg een extra procedure ligt, maar in cultuur. Daarom is mijn oratie gebaseerd op drie belangrijke boodschappen waar het vakgebied zich verder naartoe ontwikkelt. Deze beweging sluit aan op de recente ontwikkeling in de Global Internal Audit Standards (GIAS) met de Global IIA Topical Requirement on Organisational Behaviour waarin wordt gevraagd meer aandacht voor organisatiecultuur te hebben.

1. Gedrag is het startpunt van beheersing
Gedrag is het vertrekpunt van waaruit risico’s worden onderkend, afgewogen en aangepakt. Alleen als medewerkers zich hiervan bewust zijn, zich verantwoordelijk voelen én eigenaarschap tonen, kunnen processen functioneren zoals ze zijn bedoeld.

2. Het vakgebied bestuurlijke informatieverzorging (BIV) vraagt om een heroriëntatie
Van een normatief paradigma, gericht op structuren, normen en procedures, naar een benadering die ook ruimte biedt voor gedrag, cultuur, context en moreel leiderschap. Het gaat hierbij niet om of-of, maar om en-en, waardoor (ook) zicht komt op gedrag van mensen. Dit draagt bij aan een effectieve interne beheersing.

3. Professionals hebben ademruimte nodig
Een veelgehoorde klacht van professionals is dat ze verstikt zijn door regels en systemen. Door deze verstikking ontbreekt ademruimte. Ademruimte om te reflecteren, te voelen wat klopt en te handelen met ‘fingerspitzengefühl’. Morele afwegingen en professionele oordeelsvorming vragen om tijd, vrijheid om fouten te maken en om daarvan te leren. Dit draagt bij aan een integere werkomgeving.

Deze beweging vraagt om een bredere focus, niet alleen op hard controls, maar juist op het hele palet van beheersingsvormen. Figuur 2 maakt deze voorgestelde verbreding in één oogopslag zichtbaar.

Hierna een aantal concrete voorbeelden waar het schuurt, wat oorzaken zijn. Daarna volgt een nieuwe benadering om te kijken naar een integere en beheerste bedrijfsvoering.

Waar schuurt het?
Geen enkele organisatie kan meer om het cyberrisico heen. Onderzoek laat echter zien dat zo’n 95% van de beveiligingsincidenten door cyberaanvallen terug te voeren is op menselijke fouten. Geen spectaculaire blunders, maar juist kleine, alledaagse dingen. Een wachtwoord delen ‘omdat het even handig is’, klikken op een linkje ‘dat er best betrouwbaar uitzag’ of software-updates negeren ‘omdat je net lekker aan het werk was’. Velen gebruiken voor alles hetzelfde wachtwoord en laten de laptop gerust onbeheerd achter op de (openbare) werkplek. Toch blijven veel organisaties hun risicomanagement inrichten alsof mensen altijd rationeel en regelgetrouw handelen, zonder daarbij rekening te houden met de risico’s van menselijk gedrag en zoals het er in de dagelijkse praktijk daadwerkelijk aan toe gaat.

Kloof tussen systeem en werkelijkheid

Deze kloof tussen systeem en werkelijkheid illustreer ik aan de hand van drie metaforen die ik in de dagelijkse praktijk regelmatig tegenkom.

1. Operatie geslaagd, patiënt overleden
Risicoregisters worden keurig ingevuld, maar het échte risico, bewust of onbewust, blijft onbenoemd. Het proces wordt een ritueel dat legitimiteit uitstraalt, terwijl de essentie – kritisch denken – naar de achtergrond verdwijnt. Niemand deed wat nodig was, maar hield zich keurig aan de regels.

2. Watermeloenrapportages
Groen van buiten, rood van binnen. Key performance indicators (KPI’s) en rapportages geven een geruststellend beeld, terwijl onder de oppervlakte problemen broeien. Medewerkers vermijden wellicht het rapporteren van ‘rood’ uit angst voor gedoe, gezichtsverlies of extra werk. Daardoor kan het lijken dat alles goed gaat, maar er raast een storm door de organisatie. Als die dan zichtbaar wordt, is het te laat. Een dashboard kan dus nog zo groen zijn, dat betekent niet dat alles goed gaat. Een ‘groene’ rapportage moet eigenlijk als een rode vlag worden beschouwd.

3. Olifantenpaadjes
Work arounds ontstaan wanneer regels botsen met de realiteit van het werk. Vaak kiezen medewerkers uit betrokkenheid en moreel besef voor een alternatieve aanpak. Bijvoorbeeld om een cliënt te helpen, een project vlot te trekken of een collega te ondersteunen. Ze buigen het proces zo dat het recht doet aan het beoogde doel. Maar als deze afwijkingen structureel worden, verschuift de norm ongemerkt van wenselijk naar gebruikelijk. Wie bepaalt dan wanneer afwijken van de manier zoals het eigenlijk hoort gerechtvaardigd is?

Als afwijkingen structureel worden, verschuift de norm ongemerkt van wenselijk naar gebruikelijk

De rol van gedrag, cultuur en context

Om te begrijpen hoe deze metaforen zijn ontstaan, wat hun invloed is op de integere en beheerste bedrijfsvoering én hoe de risico’s die uit deze metaforen komen gemitigeerd kunnen worden, licht ik een paar van de onderliggende mechanismen uit deze voorbeelden toe. Uiteraard niet limitatief, maar illustratief.

Schijncontrole
Schijncontrole ontstaat wanneer organisaties procedures en audits belangrijker maken dan het onderliggende doel. Dit leidt tot ritualisering. Het lijkt alsof alles onder controle is, maar in werkelijkheid ontbreekt kritische reflectie. Het invullen van formulieren vervangt het begrijpen van risico’s, waardoor professionals hun vakmanschap verliezen.

Normalisatie van afwijkingen
Kleine afwijkingen van regels worden geleidelijk normaal zolang er geen directe negatieve gevolgen zijn. Wellicht bekende veronderstellingen als ‘er is niets misgegaan’ en ‘de vorige keer ging het ook goed’ maken dat er geen actie wordt ondernomen. Routines die eigenlijk niet kunnen in een organisatie blijven bestaan, omdat ze eerder geen problemen veroorzaakten.

Sociale normen en groepsdruk
De mens is een sociaal wezen, het is alom bekend dat sociale normen en groepsdruk de keuzen van medewerkers beïnvloeden. Keuzen worden sterk beïnvloed door wat in de groep als normaal wordt gezien. Wie zich daaraan onttrekt riskeert uitsluiting. Wie zwijgt blijft erbij horen. Afwijken van formele werkwijzen kan structureel worden, zonder dat dit nog bespreekbaar is. Het gevolg is dat processen wel bestaan op papier, maar niet in de praktijk.

Onder deze zichtbare patronen ligt een onderstroom van macht, belangen en psychologische veiligheid. Medewerkers vermijden negatieve signalen uit angst voor gezichtsverlies of verlies van status. Daarom is psychologische veiligheid cruciaal. In een veilige cultuur durven mensen risico’s en fouten te benoemen, waardoor ‘rood rapporteren’ een kans tot leren wordt in plaats van een bedreiging.

Nieuw raamwerk voor integere en beheerste bedrijfsvoering

We zitten in een tussenfase. Het oude denken gericht op voorspelbaarheid en beheersing (waar het vakgebied BIV op gestoeld is), schuurt steeds vaker met hoe het in de praktijk gaat. Tegelijkertijd is er nog geen nieuw breed gedragen alternatief. Juist in deze ruimte ontstaat iets nieuws. In mijn ogen is BIV een vakgebied dat niet alleen kijkt naar processen en systemen, maar ook naar mensen. Naar gedrag, cultuur en context. Als we willen dat het vakgebied relevant blijft in een wereld die steeds minder voorspelbaar is, dan is verbreding geen luxe, maar noodzaak.

Hoe brengen we menselijk gedrag structureel in beeld? Gedrag laat zich niet vangen in regels. Van oudsher werken we met verschillende raamwerken om het systeem van interne beheersing te ontwerpen en te testen op opzet, bestaan en werking. Denk hierbij bijvoorbeeld aan de verschillende varianten van COSO (ICIF, ERM), kwaliteitsraamwerken, COBIT, Simons, Merchant en Starreveld. Juist om een zinvolle uitspraak te kunnen doen over de werking van het systeem voor een integere en beheerste bedrijfsvoering is het zinvol om zicht te krijgen op gedrag, cultuur en de onderstroom. Dit gaat verder dan aandacht voor soft controls. Vandaag de dag wordt meer van auditors gevraagd.

Model

De basis om dit te kunnen structureren haal ik uit een model dat Tucker in 2019 ontwikkelde binnen het vakgebied management accounting. Hierin wordt een flexibel denkkader geboden om beheersing in organisaties beter te begrijpen als een samenspel van systemen en mensen. Alleen met regels en systemen kom je namelijk niet tot de organisatiedoelen. In het model worden vier typen controls geplaatst langs twee assen: de mate van formeel ontwerp (van laag naar hoog) en de mate van sociale interactie (van laag naar hoog) (zie figuur 3).

• Hard controls: formeel ontworpen, gericht op naleving en voorspelbaarheid.
• Soft controls: formeel ontworpen, maar afhankelijk van interpretatie, gedeelde waarden en overtuigingen.
• Zelfgestuurde controls: informeel ontworpen, gebaseerd op vertrouwen en professionele autonomie.
• Informele controls: niet vooraf ontworpen, maar sterk aanwezig in het dagelijkse handelen en de sociale dynamiek.

De vier typen controls vullen elkaar aan. Het samenspel van deze typen is bovendien geen one size fits all en is daarmee uniek voor elke organisatie. Als je formele regels en procedures combineert met informele manieren waarop mensen samenwerken en elkaar beïnvloeden, ben je als organisatie beter in staat om risico’s te beheersen en gewenst gedrag te stimuleren.

Internal auditors in de nieuwe werkelijkheid

De verbreding van het vakgebied en de aandacht voor gedrag en cultuur hebben directe gevolgen voor internal audit. De GIAS vragen expliciet om aandacht voor organisatiecultuur en gedragsdynamiek. Dit vertaalt zich naar drie complementaire rollen.

1. Assurance: zekerheid bieden over beheersing
Internal audit blijft verantwoordelijk voor het geven van onafhankelijke zekerheid over de opzet en werking van interne beheersingssystemen. Maar assurance gaat verder dan het toetsen van hard controls. Het vraagt om een integrale blik op het samenspel van formele en informele controls, inclusief soft controls en zelfgestuurde mechanismen. Internal auditors moeten beoordelen of processen niet alleen op papier, maar ook in de praktijk functioneren zoals bedoeld.

2. Adviseren: eigenaarschap en bewustzijn versterken
Internal auditors hebben een rol als sparringpartner voor de eerste en tweede lijn. Niet door het overnemen van verantwoordelijkheid, maar door hen te helpen eigenaarschap te nemen. Dit betekent het gesprek aangaan over cultuur, gedrag en morele dilemma’s. Adviseren gaat over het zichtbaar maken van patronen, het stimuleren van reflectie, en het vergroten van bewustzijn dat beheersing begint bij menselijk handelen. Zo dragen auditors bij aan een organisatie waarin professionals niet verstikt worden door regels, maar ruimte ervaren om verantwoordelijkheid te nemen.

3. Insight: duiding en uitdaging richting bestuur
De derde rol is het bieden van inzicht aan bestuur en toezichthouders. Internal audit kan rode draden uit bevindingen en oorzakenanalyses plotten in het bredere framework van beheersing. Daarmee ontstaat een strategisch beeld van waar het schuurt: welke blinde vlekken bestaan in informele controls, welke risico’s ontstaan door normalisatie van afwijkingen, en waar ontbreekt psychologische veiligheid?

Door deze inzichten te delen en bestuurders uit te dagen op de onderstroom, vervult internal audit een belangrijke rol in het voorkomen van systeemblindheid en het versterken van moreel leiderschap.

Belangrijkste takeaways voor internal auditors

Kijk verder dan hard controls en soft controls
Het raamwerk voor een integere en beheerste bedrijfsvoering laat zien dat beheersing niet stopt bij formele structuren. Beheersing vraagt ook om inzicht in cultuur, gedrag en informele dynamieken.

Gebruik je drie rollen bewust

• Assurance: toets niet alleen op papier, maar ook op praktijk.

• Adviseren: versterk eigenaarschap en bewustzijn bij eerste en tweede lijn.

• Insight: bied rode draden en duiding aan bestuur en toezichthouders.

Durf metaforen te herkennen en te benoemen

• Operatie geslaagd, patiënt overleden: proces gevolgd, maar doel gemist.

• Watermeloenrapportages: groen van buiten, rood van binnen.

• Olifantenpaadjes: geen extra hekje plaatsen, maar begrijpen waarom het pad ontstaat.

Creëer ademruimte
Professionals hebben ruimte nodig om morele afwegingen te maken en verantwoordelijkheid te nemen.

Dit artikel is gebaseerd op de oratie van Marlies de Vries, gehouden aan Nyenrode Business Universiteit bij de aanvaarding van de leerstoel behavioural audit, assurance & control op 19 september 2025.