Het verhaal achter de ‘fout’

Internal auditfuncties (IAF) kunnen meer toegevoegde waarde aan hun stakeholders bieden dan enkel het constateren van tekortkomingen. De vraag is niet primair wát er misging, maar vooral wáárom. Een gedegen root cause analyse (RCA) helpt internal auditors dieper te graven en daadwerkelijk te begrijpen waar(om) het systeem hapert. Of juist goed functioneert.

Root cause analyse (RCA), ofwel oorzakenanalyse, is een gestructureerde methode om te achterhalen waarom een gebeurtenis plaatsvond (Groot, 2021). Het doel van RCA is niet slechts het reconstrueren van een incident, maar ook het blootleggen van de onderliggende oorzaken, zodat organisaties duurzaam kunnen verbeteren.

Wanneer het écht fout gaat

Binnen organisaties wordt RCA vaak ingezet na fouten, zoals niet-naleving van interne richtlijnen of structurele factureringsproblemen. Ook near misses en good practices kunnen waardevolle vertrekpunten zijn om van te leren. In dat opzicht kan RCA een krachtig hulpmiddel voor internal auditors zijn: het stelt hen in staat aanbevelingen te doen die daadwerkelijk het fundament raken van waar het misgaat (of écht goed gaat). Met een goede RCA-praktijk dragen internal auditors niet alleen bij aan de effectiviteit van hun eigen werk, maar ook aan een lerende organisatiecultuur.

RCA is geen onbekend fenomeen voor internal auditors. RCA-gerelateerde methodieken zien we veelal terugkomen in de handboeken van verschillende IAF’s. Ondanks de waarde ervan stellen we tegelijkertijd vast dat internal auditors de potentie van RCA in de praktijk niet altijd volledig benutten. Zowel praktijkervaring als onderzoek, zoals van DeZoort en Pollard (2023), laten zien dat de analyses regelmatig te oppervlakkig blijven om tot echt waardevolle inzichten te komen.

Incidenten zijn zelden terug te voeren op één enkele oorzaak. De zoektocht naar dé oorzaak is vaak een misleidende simplificatie

Systemische benadering

Een veelvoorkomende valkuil is het benoemen van gedragskenmerken als grondoorzaak, zoals onoplettendheid of onvoldoende professioneel sceptisisme. Denk aan trainingen gericht op de professioneel sceptische instelling van de auditor die veel registeraccountants het afgelopen decennium volgden. Zulke constateringen zijn echter geen verklaring voor het gedrag, maar een beschrijving. Ze zeggen weinig over de context waarin het gedrag heeft kunnen ontstaan.

Om dieper tot de kern door te dringen is een systemische benadering nodig. Waarbij aandacht is voor de context en cultuur van de organisatie, met de wisselwerking tussen mensen, processen en technologie. Fouten ontstaan namelijk zelden in een vacuüm. Wanneer het systeem ongewijzigd blijft, steken soortgelijke fouten vroeg of laat opnieuw de kop op.

Versterking van de RCA

Een effectieve RCA vraagt een gestructureerde aanpak. Daarbij kunnen vijf stappen houvast bieden, die we uitwerken aan de hand van een voorbeeld in tabel 1. In deze fictieve casus is er sprake van een datalek.

Het helpt om verschillende perspectieven bij RCA te betrekken. Internal auditors zijn vaak geschoold in bedrijfskunde, accountancy of gerelateerde opleidingen. Maar RCA kan winnen aan diepgang wanneer er ook experts uit bijvoorbeeld de (organisatie)psychologie of het verandermanagement bij worden betrokken. Dit biedt meer zicht op gedrags- en cultuurelementen die vaak relevant zijn voor de onderliggende oorzaken. Daarnaast zijn incidenten zelden terug te voeren op één enkele oorzaak. Organisaties zijn complexe systemen waarin gebeurtenissen meestal het resultaat zijn van een samenloop van factoren. De zoektocht naar dé oorzaak is vaak een misleidende simplificatie.

Veilige leeromgeving als voorwaarde

Tot slot is een veilige leeromgeving een belangrijke voorwaarde voor het slagen van RCA. De focus moet liggen op organisatieverbetering, niet op het aanwijzen van schuldigen. Als medewerkers zich beoordeeld voelen, zullen zij minder geneigd zijn open en eerlijk te spreken. Toch blijkt in de praktijk dat hindsight bias, hiërarchie en juridische gevolgen een open dialoog regelmatig in de weg staan.

In bijvoorbeeld de luchtvaart worden onderzoeken uitgevoerd door externe teams van de Onderzoeksraad voor Veiligheid. Daar worden expertteams ingezet en wordt de veiligheid geborgd doordat het leren is gescheiden van het sanctioneren (zo mogen de inzichten van de Onderzoeksraad bijvoorbeeld niet voor strafrechtelijk onderzoek gebruikt worden). Hoewel dit voor IAF’s wellicht niet direct haalbaar is, kunnen elementen als multidisciplinariteit, een heldere scheiding tussen leren en sanctioneren, en duidelijke communicatie over het doel van RCA, helpen om die veilige omgeving dichterbij te brengen.

Durf verder te kijken dan alleen de feitelijke bevinding. Vraag ondersteuning en een kritische blik van een collega

Toepassing

We zien de toepassing van RCA door internal auditors op twee manieren, namelijk als onderdeel van audits én als een losstaand onderzoek.

De analyse van de bevinding
Zoals eerder vermeld, zien we verschillende RCA-methodieken terugkomen in de handboeken van IAF’s. Door oorzaken onderliggend aan de bevinding te adresseren wint de aanbeveling aan kracht en validiteit.

We weten niet in hoeverre IAF’s deze methodieken structureel hanteren in alle audits, maar we raden alle internal auditors wel aan de tijd te nemen om een (beperkte vorm van) RCA uit te voeren op vastgestelde bevindingen. Onderzoek van DeZoort, Doxey en Pollard (2021) laat zien dat auditors die gebruikmaken van (gestructureerde) RCA’s komen tot een diepere evaluatie van auditbevindingen en óók tot sterkere overwegingen over verbanden tussen de financiële rapportage en de interne controle.

Durf verder te kijken dan alleen de feitelijke bevinding. Vraag ondersteuning en een kritische blik van een collega. Twee paar ogen zien immers meer dan één, zeker als dat andere paar vanuit een ander perspectief kijkt. Deze kritische blik kan de internal auditor ook organiseren door periodiek, of in bepaalde gevallen, externe expertise bij de RCA te betrekken. Juist die frisse blik en het nieuwe perspectief leiden tot nieuwe inzichten en betere oordeelsvorming.

Aanbevelingen en rode draden
Internal auditors zoeken de oorzaken van bevindingen vaak in zaken als systeemautorisaties, procesbeschrijvingen of beschikbare capaciteit. Dit soort oorzaken resulteert namelijk in praktische acties die de actiehouders goed kunnen opvolgen. Maar is hiermee de kern van het probleem vastgesteld? Wat zegt de gebrekkige systeemautorisatie over de context als culturele elementen of de mentale modellen van de beheerder en gebruikers? Is dit een probleem dat alleen een specifieke afdeling of applicatie raakt? Of ligt er een breder pijnpunt over de beheersing van IT?

Antwoorden op deze vragen leiden mogelijk niet tot direct meetbare, kortetermijn- en actiegerichte maatregelen, maar ze helpen wel om een effectieve aanbeveling te formuleren voor de specifieke bevinding (bij voorkeur specifiek geformuleerd). Deze aanpak vergroot de kans dat actiehouders bevindingen met meer diepgang adresseren. Dit maakt het stellen van dergelijke vragen belangrijk voor het lerende en reflecterende vermogen van de organisatie. De internal auditfunctie kan de hieruit volgende reflecties en de antwoorden op deze vragen als rode draden met het bestuur van de organisatie delen. Het delen van deze inzichten kan zowel in de formele rapportagestructuren als in informele interacties en contactmomenten.

Checklist voor het uitvoeren van een RCA

1. Kies voor een gestructureerde aanpak door middel van een RCA-model (Doggett, 2005).

2. Zorg voor een veilige leeromgeving (Groot, 2021).

3. Overweeg het hanteren van een RCA-taxonomie (Groot, Meertens en Winkelaar, 2025).

RCA als breder onderzoek
RCA kan worden gebruikt voor een bepaalde casus, en daarmee voor een specifieke bevinding. RCA kan zich ook richten op uitgebreidere vraagstukken, waarbij het doel is de grondoorzaken van bepaalde fenomenen of grotere vraagstukken te duiden en op basis daarvan verbetering door te voeren. Denk aan structurele uitdagingen met betrekking tot kwaliteit of veiligheid. Door met RCA onderzoek te doen naar de grondoorzaken ondersteunt de internal auditfunctie de organisatie met reflectie en lerend vermogen. Om daarmee niet alleen de dingen goed te doen, maar ook de juiste dingen te doen.

Een ander veelvoorkomend vraagstuk is waarom het veel organisaties structureel niet lukt met verander- of implementatietrajecten het gewenste resultaat te bewerkstelligen. Het traject duurt bijvoorbeeld langer dan verwacht, is duurder dan begroot of leidt niet tot de gewenste uitkomsten. Ligt het aan de methodiek of spelen er onderliggend andere elementen die de organisatie hinderen?

Verder kijken dan de bevinding

Internal auditors hebben een essentiële rol te vervullen in hun organisaties en krijgen daar van het management een robuust mandaat voor. Dat mandaat komt met de verwachting dat de IAF een wezenlijke bijdrage kan leveren aan de beheersing en effectiviteit van de organisatie. Een goed toegepaste RCA kan de internal auditor helpen die bijdrage te leveren. Door middel van het stimuleren van een lerende organisatie, het verkrijgen van echte inzichten en het vaststellen van rode draden die onder de oppervlakte liggen.

Tegelijkertijd is het toepassen van RCA iets wat tijd, aandacht en discipline vraagt. RCA is immers geen checklist, maar een manier van kijken. Niet het model, maar het denken erachter maakt het verschil. De uitkomst, systematisch begrijpen hoe en waarom processen ontsporen en wat er nodig is om dat te voorkomen, zijn elementaire inzichten. De IAF is uniek gepositioneerd om juist deze inzichten te verkrijgen. De doelstelling van de internal auditor is om waarde te creëren, te beschermen en te behouden door het management te voorzien van assurance, advies, inzicht en vooruitzichten. Als internal auditors erin slagen RCA op deze manier in te zetten, vervult het vak zijn potentieel als drijvende kracht voor duurzame verbetering.