Waarom internal auditors falen om misstanden te rapporteren

De afgelopen twintig jaar hebben zich vele boekhoudschandalen voorgedaan; aan het begin van deze eeuw bij WorldCom, Enron en Ahold tijdens de kredietcrisis, en recent bij Steinhoff en Wirecard. Waar waren de auditors en waarom hebben ze hun werk niet gedaan?

In deze bijdrage wordt naar een antwoord op deze vragen gezocht vanuit de theorie van het ‘bystander effect’. In 2019 heb ik onder de regie van Erasmus School of Accounting and Assurance (ESAA) onderzoek verricht naar het bystander effect bij internal auditors.

Corporate governance

In veel artikelen over corporate governance worden de boekhoudschandalen bij de Amerikaanse firma’s Worldcom en Enron als aanleiding gezien om nieuwe wet- en regelgeving in te voeren. Het doel hiervan is om deugdelijk ondernemingsbestuur af te dwingen. Op 30 juli 2002 werd in de Amerikaanse Senaat de Sarbanes-Oxley wet ingevoerd, mede naar aanleiding van inmiddels nieuwe boekhoudschandalen bij onder meer AOL, Tyco en Qwest.

Parlementaire vragen

In 2005 werd in het Europese Parlement gevraagd: welke lering moet er volgens de Commissie getrokken worden uit de reeks financiële schandalen die de laatste tijd Wall Street door elkaar geschud hebben? Hoe herstellen we het vertrouwen van de investeerders? En hoe beschermen we de tegoeden van miljoenen gepensioneerden en aandeelhouders in de Europese Unie? Heeft de Commissie in het bijzonder met de lidstaten de mogelijkheid besproken om de raadgevende en toezichthoudende functie van boekhoudingscontrolefirma’s te splitsen? Gezien de uiterst belangrijke rol van Arthur Andersen in zowel het Enron- als het WorldCom-schandaal willen we in de toekomst elk belangenconflict toch voorkomen?.

En wat leverde dat op?

In de zomer van 2007 ontstond de wereldwijde crisis op de financiële markten, die in het najaar van 2008 een hoogtepunt bereikte en pas in de loop van 2012 afliep. De crisis legde opnieuw zwakheden en tekortkomingen in deugdelijk ondernemingsbestuur bloot. Overheden reageerden door extra regels en standaarden voor corporate governance in te voeren en af te dwingen.

Het bystander effect is een term uit de sociale psychologie. De theorie luidt: hoe groter de groep omstanders, hoe kleiner de kans dat iemand ingrijpt

Lines of defense

In 2013 introduceerde IIA Global The three Lines of Defense in effective risk management and control, dat vorig jaar is geactualiseerd en waarin de rol van de internal auditfunctie cruciaal is. In 2015 publiceerde de Bank for International Settlements The four lines of defense model for financial institutions en in 2017 verscheen het King IV report on Corporate Governance for South Africa, waarin the Five lines of assurance werden geïntroduceerd.

Daar moeten we toch van geleerd hebben…

Nochtans hebben zich in de afgelopen jaren opnieuw grote boekhoud- en fraudeschandalen voorgedaan, waarvan die bij meubelgigant Steinhoff en het Duitse betalingsbedrijf Wirecard de belangrijkste zijn. En wederom werd verzucht: waarom hebben de auditors niet eerder aan de bel getrokken?

Hoe kan die apathie bij (internal) auditors dan worden verklaard?

In een analyse van de wereldwijde financiële crisis werd het volgende geconstateerd: ‘Perhaps the financial industry suffered from what psychologists call the bystander effect. Because there were so many bystanders, no-one saw it as their duty to act.’ Het bystander effect (omstandereffect) is een term uit de sociale psychologie waarbij een aantal mensen toekijkt bij een noodsituatie of misdrijf, maar niet in actie komt. De theorie luidt: hoe groter de groep omstanders, hoe kleiner de kans dat iemand ingrijpt.

Er zijn veel mogelijke redenen waarom omstanders niet ingrijpen. Een paar hiervan zijn: de omstander verwacht dat een ander wel ingrijpt; de omstander ziet dat anderen niet ingrijpen en gaat er daarom ook vanuit dat ingrijpen niet nodig is, of de omstander denkt dat andere omstanders beter in staat zijn om te helpen.

Vindt het individu het belangrijk om in te grijpen, dan zorgt de pluralistische onwetendheid ervoor dat individuen naar elkaar kijken en afwachten. De groep raakt verlamd door besluiteloosheid

Hoe is het onderzoek uitgevoerd?

Het fenomeen ‘diffusie van verantwoordelijkheid’ speelt een belangrijke rol bij het vaststellen van het bystander effect. Als iemand weet dat er meer omstanders aanwezig zijn, dan is het eenvoudig om de verantwoordelijkheid op een andere persoon af te schuiven. Met andere woorden, hoe meer mensen er bij een noodsituatie betrokken zijn, hoe minder een individu zich verantwoordelijk voelt om in te grijpen.

In ons onderzoek hebben we deze theorie als het ware doorgetrokken door te veronderstellen dat de internal auditor minder bereid is over noodsituaties bij een organisatie te rapporteren naarmate er meer lines of defense van deze tekortkomingen op de hoogte zijn. Hiervoor hebben we drie scenario’s ontwikkeld over een fictief ontwricht IT-project.

De drie onderzoeksscenario’s

In het eerste scenario was alleen de internal auditor van de IT-perikelen op de hoogte. In het tweede scenario wist niet alleen de internal auditor, maar ook de risk manager van de problemen bij het IT-project. In het derde scenario was de status van het IT-project bij zowel de internal auditor, de risk manager en de externe accountant bekend.

De belangrijkste variabele in het onderzoek was de bereidheid van de internal auditor om de tekortkomingen in het onderzoek tijdig aan de CEO van het fictieve bedrijf te rapporteren. We hebben de scenario’s voorgelegd aan drie groepen van in totaal 140 internal auditors bij Nederlandse financiële instellingen.

De onderzoeksresultaten

Uit onze analyse van de resultaten bleek dat er daadwerkelijk verschillen waren tussen de uitkomsten van de drie groepen respondenten. We constateerden dat in het derde scenario de internal auditors minder geneigd waren om de problemen bij het IT-project aan de CEO voor te leggen dan in de twee andere scenario’s. Toch waren de verschillen in de uitkomsten van de drie scenario’s niet zodanig groot dat we ‘stellig’ kunnen concluderen dat er daadwerkelijk sprake is van het bystander effect bij internal auditors.

Wat nu en hoe nu verder?

We hebben in 2019 de resultaten van ons onderzoek onder meer gepresenteerd tijdens het Academic Conference of Corporate Governance and Internal Auditing bij de Sorbonne Universiteit in Parijs. Uit de reacties bleek dat er mogelijk biases tijdens het onderzoek hebben plaatsgehad en daarom is gesuggereerd om het onderzoek niet alleen te beperken tot internal auditors bij Nederlandse financiële instellingen, maar ook in meer landen/culturen en bij andere typen organisaties.

Uit de ontvangen commentaren bleek ook dat de ‘diffusie van verantwoordelijkheid‘, als enig kernconcept van het bystander effect, het onderzoek mogelijk beperkte. Immers, ook een fenomeen als ‘pluralistische onwetendheid’ heeft impact op de diffusie van verantwoordelijkheid en daarmee het bystander effect. Diffusie van verantwoordelijkheid zorgt er in eerste instantie voor dat ingrijpen door een individu minder van belang lijkt. Vindt het individu het echter wel belangrijk om in te grijpen, dan zorgt de pluralistische onwetendheid ervoor dat individuen naar elkaar kijken en afwachten tot er daadwerkelijk iemand ingrijpt, waardoor de groep verlamd raakt door besluiteloosheid.

In ons vervolgonderzoek nemen we de aanbevelingen vanuit het Academic Conference of Corporate Governance and Internal Auditing op in onze research approach.