Soft controls in internal audit

Soft controls zijn al sinds jaar en dag onderwerp van onderzoek en literatuur. Op brede schaal bestaat de wens en noodzaak om de uitkomsten van een meting van soft controls toe te kunnen passen. Echter, een concrete methode bleef tot op heden uit. BDO ontwikkelde een methodiek die op objectieve wijze invulling geeft aan die wens.

De afgelopen jaren zijn er vele voorbeelden te noemen van bedrijven waar fraude, dan wel het nemen van onverantwoorde risico’s, plaatsvonden. Rode draad bij de fraudegevallen binnen die bedrijven is dat de interne beheersing voornamelijk wordt gezien als ‘het op orde hebben’ van de harde beheersingsmaatregelen (ook wel hard controls), processen en instrumenten. De maatschappij vraagt daarentegen om een bredere beoordeling van organisaties, omdat de in het oog springende schandalen eerder verband houden met gedrag, cultuur en integriteit dan met regels en procedures alleen.

De noodzaak van soft controls

Steevast lijken de wortels van de uiteindelijke misère zich te bevinden in de heersende cultuur binnen (de top van) het bedrijf. Op papier lijkt er op het eerste gezicht vaak niets aan de hand. Pas na diepgravend onderzoek komen malversaties aan het licht. Later blijkt dan dat er al eerder signalen waren zoals het ontbreken van een open cultuur, te weinig oog hebben voor risico’s, slechte communicatie, zonnekoninggedrag of verstoorde werkverhoudingen. De incidenten van de afgelopen jaren bewijzen dat hard controls – functiescheidingen, controles en dergelijke – weliswaar nodig zijn, maar dat deze alleen zin hebben als de soft controls – verschillende aspecten van de organisatiecultuur – ook goed op orde zijn. Dit is de reden dat het eigenlijk onontkoombaar is om deze ‘softere’ aspecten binnen de eigen organisatie te onderzoeken en mee te nemen in de uitvoering van internal audits.

De werking van soft controls

De effectiviteit van de hard controls binnen organisaties is dus afhankelijk van de aanwezigheid en werking van de soft controls en kenmerken van individuele medewerkers. Figuur 1 laat zien dat soft controls de werking van hard controls beïnvloeden. Dit kan zowel op een positieve wijze (ondersteunend werken) als negatieve wijze (afbreuk doen aan). De afbeelding is een voorbeeld van een niet-werkende hard control (IT-toegangsbeveiliging). Door middel van een IT-audit kan vastgesteld worden dat medewerkers conform de richtlijnen periodiek wachtwoorden instellen om zo de toegangsbeveiliging te borgen. Indien het echter gebeurt dat medewerkers memo’s op hun beeldscherm plakken met de wachtwoorden/inlogcodes (gedrag/soft controls) dan ondermijnt dit de hard control die door het systeem wordt afgedwongen. Door alleen te steunen op de hard control van de IT-audit lijkt de beheersomgeving te werken, maar door gedrag van medewerkers wordt in dit voorbeeld afbreuk gedaan aan de werking van deze hard control.

Aandacht voor soft controls

Binnen elke organisatie zijn soft controls – in meer of mindere mate – aanwezig. Echter, vaak wordt hier niet actief op gestuurd en krijgen ze pas aandacht op het moment dat zaken niet goed gaan of er weerstand binnen de organisatie wordt ervaren. Gedrag en cultuur kunnen een grote impact hebben op de (financiële) risico’s die een organisatie loopt. Het is noodzakelijk voor een internal auditfunctie om deze ‘softere’ aspecten binnen de eigen organisatie te onderzoeken, de risico’s gestructureerd in kaart te brengen en mee te nemen in de beoordeling van de beheersomgeving. Redenen om als organisatie of als internal auditfunctie aandacht te geven aan gedrag en cultuur zijn:­

• Behoefte om iets wat ongrijpbaar is (cultuur en gedrag) meetbaar te maken.
• Werkelijk in control zijn.
• Aan de raad van commissarissen/de auditcommissie aan kunnen tonen dat er aandacht is voor cultuur en gedrag.
• Voldoen aan de maatschappelijke vraag naar transparantie omtrent cultuur en gedrag.
• Toegevoegde waarde van de internal auditor door verbreding van de werkzaamheden ten aanzien van interne beheersing.

Methodiek

Op basis van uitgebreid onderzoek ontwikkelde BDO een framework van vijf soft controls met ieder vier onderliggende deelaspecten (soft skills). Zo wordt de soft control ‘Leiderschap’ gemeten aan de hand van vier deelaspecten waaronder bijvoorbeeld ‘voorbeeldgedrag’. In totaal worden twintig soft skills gemeten door middel van een soft control scan. Het framework vormt de basis voor de meting van soft controls door BDO.­

1. Leiderschap: leiderschap gaat over de wijze waarop leidinggevenden en management richting en sturing geven. Zorgt de leidinggevende er bijvoorbeeld voor dat medewerkers precies weten wat van hen wordt verwacht? Geeft hij altijd het goede voorbeeld?
2. Communiceren: communiceren betreft de wijze waarop informatie wordt gedeeld met en door medewerkers zodat zij precies weten welk gedrag van hen wordt verwacht. Sluit deze communicatie qua vorm, toon, frequentie en timing aan op de doelgroep?
3. Faciliteren: faciliteren houdt in dat medewerkers de juiste hulpmiddelen aangereikt krijgen om hun werk adequaat uit te kunnen voeren. Hebben medewerkers voldoende tijd en middelen en beschikken zij over de juiste vaardigheden om organisatiedoelstellingen te verwezenlijken?
4. Stimuleren: stimuleren omvat de mate waarin medewerkers gemotiveerd worden om organisatiedoelstellingen te bereiken of prestaties te leveren. Staan medewerkers achter de doelstellingen van de organisatie en voelen zij zich gewaardeerd voor hun inspanningen?
5. Reageren: reageren betreft de mate waarin de organisatie toeziet en reageert op gewenst en ongewenst gedrag. Bestaat er een cultuur van het onderling aanspreken op gedrag en geeft men elkaar feedback? Op welke wijze wordt door leidinggevenden gereageerd op ongewenst gedrag en vindt communicatie plaats indien actie is ondernomen?

Bepalen van de norm

Voorafgaand aan de meting wordt de norm bepaald waarlangs gemeten wordt. Deze norm verschilt per type organisatie en per type afdeling. Zo kan het wenselijk zijn dat een financiële afdeling ander gedrag vertoont dan een commerciële afdeling. De meting kan op diverse dwarsdoorsneden (proces, afdeling, functieniveau, et cetera) uitgevraagd worden.

Gedrag en cultuur kunnen een grote impact hebben op de (financiële) risico’s die een organisatie loopt

Met behulp van een online vragenlijst wordt getoetst in welke mate:

1. individuen binnen de organisatie een voorkeur voor gedrag laten zien (intentioneel gedrag) dat aansluit bij wat nodig is voor een effectieve toepassing en werking van soft controls;
2. de toepassing van soft controls binnen de organisatie merkbaar is voor het personeel (belevingsonderzoek).

Het eerste deel is toegespitst op de basis van gedrag dat binnen de organisatie aanwezig is om überhaupt de vijf soft controls effectief toe te kunnen passen. Het tweede deel is toegespitst op de beleving van soft controls. Deel een biedt de mogelijkheid om resultaten uit het belevingsonderzoek met diepgang te verklaren en kan eventuele risico’s voor de toekomst duiden.

De kracht van het instrumentarium vloeit voort uit de combinatie van beide methoden van meting. Acute issues binnen de organisatie op het gebied van soft controls worden geïdentificeerd op basis van het belevingsonderzoek. Echter, gebeurtenissen zoals een zojuist aangekondigde reorganisatie, privéperikelen of een zeer positief beoordelingsgesprek hebben impact op de uitkomsten van dit belevingsonderzoek.

Het belevingsonderzoek betreft een momentopname, waardoor het noodzakelijk is dat deze wordt aangevuld. Deze aanvulling bestaat uit het onderzoeken van het intentionele gedrag, ofwel de toets naar het voorkeursgedrag van medewerkers in relatie tot de soft controls, dat een voorspeller is van toekomstig gedrag. De methode van meting van voorkeursgedrag waarborgt daarnaast dat het geven van sociaal wenselijke antwoorden wordt voorkomen. De uitkomsten inzake voorkeursgedrag (intentioneel gedrag) wijzigen in principe (mits zich geen traumatische gebeurtenissen voordoen op persoonsniveau) niet gedurende een jaar. Beide methoden van meting zijn in één online uitvraag samengevoegd. In de uitkomsten van de metingen geven de afwijkingen van de norm (zowel naar boven als naar beneden) een aandachtspunt weer. Dit aandachtspunt uit zich in een risico op afwijkend gedrag van datgeen wat wenselijk/noodzakelijk is. Het risico op afwijkend gedrag uit zich in het niet voldoen aan, al dan niet geformaliseerde, procedures.

Concrete toepassing

De uitkomsten van de soft-controlsmeting geven relevante auditinformatie op een drietal onderdelen:

1. De uitkomsten kunnen nieuwe/aanvullende risico’s identificeren en dus leiden tot concrete bevindingen met betrekking tot de interne beheersing van de organisatie.
2. De uitkomsten van soft controls kunnen invloed hebben op de impact van reeds ingeschatte risico’s.
3. De uitkomsten kunnen nieuwe beheersmaatregelen in kaart brengen. Dit is met name van belang in situaties waar niet of in beperkte mate sprake is van hard controls.

Door middel van de aanvullende relevante auditinformatie die een soft-controlsmeting geeft kan de internal auditor aan de voorkant beter focussen en scherper zijn capaciteit inplannen (door een betere risicoanalyse) en krijgt hij gedurende de audit handvatten om het veel genoemde ‘onderbuikgevoel’ op een objectieve manier inhoud te geven. Uiteindelijk leidt dit tot kwalitatief betere en effectievere internal audits.