Het auditen van veerkracht
Al jaren staat het onderwerp veerkracht op de lijst met toprisico’s bij chief audit executives (Risk in Focus van het IIA). In 2022 was veerkracht zelfs een van de centrale thema’s van het IIA Congres in Nederland. Hiermee kunnen we voorzichtig concluderen dat het onderwerp als relevant wordt gezien. De vraag is wel of er al veel wordt geaudit op veerkracht en op welke wijze dit gedaan kan worden. Dit artikel biedt inzichten in veerkracht als auditobject en handvatten voor het auditen ervan.
Een korte zoektocht naar het concept levert een hoop informatie en wetenschappelijke artikelen op. De zoektocht naar informatie en ervaringen over het auditen van het concept is daarentegen lastiger. Veerkracht – of de in het Engels veel toegepaste vertaling resilience – kan worden beschreven als het in staat zijn om je als organisatie aan te passen aan uitdagende en continu veranderende situaties, te leren van deze uitdagingen en hiermee de organisatie te versterken. Een organisatie die veerkrachtig is, is in staat om ten tijde van crises of incidenten zich op dusdanige wijze aan te passen dat het de organisatie geen permanente of significante schade aandoet. De organisatie kan dus als het ware ‘terugveren’. Maar wat kan een internal auditor hier eigenlijk mee?
Een goed business continuity plan en crisisplan dragen wel degelijk bij aan veerkracht, maar zijn niet de enige indicatoren
Referentiemodel voor het auditen van veerkracht
De internal auditor heeft doorgaans een brede blik op de organisatie en de mogelijkheid om op verschillende onderdelen, thema’s en risicogebieden mee te kijken. Veerkracht leent zich goed als auditonderwerp aangezien het een breed concept is dat vele onderdelen van een organisatie raakt en beslaat. De internal auditor is dan ook goed in staat om in een bepaalde mate een uitspraak te doen over de veerkracht van een organisatie. Een goed startpunt is hierbij wel belangrijk.
Het referentiemodel is gebaseerd op onderzoek onder meerdere internal auditors in diverse sectoren in Nederland (zie figuur 1). Op basis van interviews is bepaald wat internal auditors zien als belangrijke indicatoren voor veerkracht. Daarnaast is gesproken met meerdere experts op dit gebied om ook vanuit hen te ontdekken welke aspecten belangrijk zijn en meegenomen zouden moeten worden in een audit.
Dit onderzoek resulteerde in een referentiemodel waarin verschillende aspecten van veerkracht zijn opgenomen. Het model is opgebouwd vanuit twee perspectieven. Enerzijds de zachte kant: mensen, cultuur en strategie van een organisatie en anderzijds de harde kant van de organisatie: de processen, governance en wet- en regelgeving. Er zullen nog talloze andere aspecten zijn die bijdragen aan de veerkracht van een organisatie en dit zal ook per organisatie verschillen. Dit referentiemodel is een eerste aanzet tot het verzamelen van al deze inzichten en fungeert als startpunt voor het uitvoeren van auditwerkzaamheden op dit onderwerp.
Mensen, cultuur en strategie
Vaak wordt aangenomen dat een organisatie met een goed opgesteld business continuity plan (BCP) veerkrachtig is. Een goed BCP en crisisplan dragen wel degelijk bij aan veerkracht, maar zijn niet de enige indicatoren. Naast deze meetbare processen, zijn er namelijk ook bepaalde minder meetbare en zachtere aspecten die bijdragen aan de veerkracht van een organisatie.
Denk bijvoorbeeld aan werkdruk bij medewerkers. Hoe houden medewerkers die in de dagelijkse praktijk al veel werkdruk ervaren, zich staande in tijden van stress en onrust? En als medewerkers op die manier minder veerkrachtig zijn, hoe kan een organisatie zelf dan veerkrachtig blijven? Ook aspecten als verbinding, loyaliteit en een gedeelde visie kunnen bijdragen aan veerkracht, net als het hebben van voldoende individuele bewegingsruimte.
Medewerkers die zich gewaardeerd voelen door het management tonen wellicht meer loyaliteit in tijden dat het minder gaat met de organisatie. Leiderschap en voorbeeldgedrag zijn dus van groot belang bij het vergroten van de veerkracht. Daarnaast is het goed om te kijken naar de strategie van de organisatie: is deze ook veerkrachtig? Een bedrijf dat blijft vasthouden aan een visie die niet meer van deze tijd is en niet durft of wil innoveren, beweegt niet mee en is daardoor minder veerkrachtig.
Wanneer de wens bestaat deze zachte elementen van veerkracht voor de organisatie verder te bestuderen, kan gebruikgemaakt worden van de vragen (ter inspiratie) in figuur 2.
Processen, governance, wet- en regelgeving
Het belang van bepaalde processen en karakteristieken van een organisatie kan echter ook niet vergeten worden als het gaat om veerkracht. Hier gaat het om specifieke processen, zoals het eerdergenoemde BCP, maar ook om de beveiliging van systemen en faciliteiten en het in kaart brengen van kritische leveranciers en klanten. Het hebben van de juiste governance is belangrijk, maar het verschilt uiteraard per organisatie wat het meest passend is.
Een organisatie die zeer strikt is ingericht, kan ook rigide worden en in tijden van onrust niet in staat zijn snel te handelen, bijvoorbeeld wanneer de besluitvorming zodanig is ingericht dat het zich niet leent voor snelle beslissingen. Ook onderlinge overdraagbaarheid van taken en verantwoordelijkheden spelen hier een rol. Denk bijvoorbeeld aan de coronacrisis waarbij veel organisaties te maken hadden met uitval van (sleutel)medewerkers. Dat betekent dat er inzicht moet zijn in de onderlinge afhankelijkheden tussen de verschillende sleutelfuncties binnen een organisaties. Als de ene sleutelfunctie uitvalt zou dit geen impact moeten hebben op een andere.
De relevantie van het laatste element, wet- en regelgeving, zal waarschijnlijk per organisatie verschillen. Financiële instellingen die onder toezicht staan zullen bijvoorbeeld verplicht zijn een BCP op te stellen en te onderhouden, of zullen voor externe accreditatie gaan om hun veerkracht aan te tonen (ook richting klanten). Het voldoen aan van toepassing zijnde wet- en regelgeving is voor elke organisatie, in welke sector dan ook, van belang. Ook in tijden van crisis of tijdens een incident. Voor deze organisaties is het dus belangrijk om dit mee te nemen, al zal dit mogelijk minder strikt zijn dan bij bijvoorbeeld financiële instellingen.
Wanneer de wens bestaat verder in kaart te brengen op welke wijze deze harde elementen van veerkracht in de organisatie zijn ingericht, kan gebruikgemaakt worden van de vragen per element in figuur 3.
Het auditen van veerkracht
Veerkracht is dus een breed concept dat vele aspecten en lagen van een organisatie beslaat. Aangezien de internal auditor vanuit zijn functie een brede blik heeft op de organisatie, is de internal auditor bij uitstek in staat om te onderzoeken hoe het met de veerkracht staat. Daarbij moet opgemerkt worden dat veerkracht wel een dermate breed concept is, dat het hele auditjaarplan ermee gevuld zou kunnen worden. Bovendien komen veel van de elementen uit het referentiemodel op impliciete of expliciete wijze al terug in de verschillende audits die door het jaar worden uitgevoerd.
Het referentiemodel en de bijhorende vragen per element kunnen daarom gebruikt worden als startpunt voor het uitvoeren van een risicoanalyse op veerkracht. Zo kan worden beoordeeld op welke aspecten de organisatie al veerkrachtig is en op welke vlakken nog verbetering nodig is. Op deze manier kan worden beoordeeld met welke audits uit het auditjaarplan iets gezegd kan worden over veerkracht. In de verschillende kwartaal- en/of jaarrapportages kan vervolgens teruggegrepen worden naar de verschillende audits en daarmee een uitspraak gedaan worden over de mate van veerkracht binnen de organisatie.
Hebt u al eens (impliciet) onderzocht hoe veerkrachtig uw organisatie is? Het is goed mogelijk dat u het afgelopen jaar al meerdere audits heeft uitgevoerd waarbij aspecten van veerkracht in scope waren.
Over
Isabel van Maaren is manager in het risk consulting team van Mazars in Nederland. In 2021 studeerde zij af met haar onderzoek naar het auditen van veerkracht aan de RO-opleiding van de UvA. Naast haar werk bij Mazars is ze voorzitter van de Young Professionals-commissie van het IIA.
Reacties (0)
Lees meer over dit onderwerp:
“We zijn het gewoon gaan doen!”
De acute coronacrisis ligt achter ons, maar heeft sporen nagelaten in de zorgsector. Wat heeft de sector hiervan geleerd wat betreft veerkracht? Een gesprek met hoofd Intensive Care Diederik Gommers en manager Internal Audit Michel Vlak van het Erasmus Medisch Centrum (Erasmus MC) in Rotterdam.
Lees meerDe smaak van veerkracht: het recept voor succes in de restaurantwereld
Oscar Vos, mede-eigenaar van Woodstone Pizza and Wine, over de dynamische markt, de customer journey en de altijd veranderende culinaire wereld. Ontdek hoe veerkracht, creativiteit en strategisch denken ook waardevolle lessen bieden aan interne auditors.
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.