Wanneer kan men spreken van in control zijn?
In control zijn is een term die veelvuldig gebruikt wordt in organisaties. Toch blijkt dit een bijzonder ongrijpbaar begrip te zijn. Dit artikel verschaft hierover enige helderheid met zes zienswijzen over in control zijn, inclusief per zienswijze enkele beperkingen.
1 – Risk appetite versus risk exposure
Volgens deze zienswijze is een organisatie in control wanneer het totaal van de risico’s waaraan zij bloot staat (risicoprofiel c.q. risk exposure) zich bevindt ‘binnen’ de risicobereidheid (risk appetite) die de organisatie geformuleerd heeft (COSO, 2004). Met het formuleren van de risk appetite bepaalt het bestuur van de organisatie welk risiconiveau zij bereid is te accepteren en daarmee automatisch ook welk risiconiveau zij niet bereid is te accepteren. Hierbij houdt zij de organisatiedoelstellingen die geformuleerd zijn goed in het oog (zie figuur 1).
Beperkingen
De moeilijkheid hierbij is dat veel organisaties geen goed zicht hebben op hun risico’s. Risicomanagement staat bij veel organisaties in de kinderschoenen en al is dit wel tot wasdom gekomen, dan nog is het onmogelijk om alle risico’s te kennen. Ook de onderlinge samenhang tussen risico’s is vaak onvoldoende inzichtelijk (bijvoorbeeld wanneer het ene risico het andere veroorzaakt of wanneer risico’s elkaar versterken). Ook wordt het begrip risk appetite vaak nog als een conceptueel begrip gebruikt en hebben maar weinig organisaties dit echt geëxpliciteerd c.q. gekwantificeerd.
2 – Weerstandsvermogen
Het vakgebied risicomanagement ziet zich geconfronteerd met sceptici die weinig geloof hechten aan het vermogen om de werkelijke bedreigingen voor een organisatie te bepalen en te kwantificeren. Denk hierbij aan de discussie over black swans en de unknown-unknowns (Taleb, 2011 en 2012). Volgens deze zienswijze zouden organisaties dus ook niet te veel inspanning moeten betrachten om risico’s te identificeren en mitigeren. Immers, dit zou alleen maar tot schijnzekerheid leiden en bovendien verdienen dergelijke investeringen zichzelf niet terug. Bij in control zijn leggen zij de nadruk op het weerstandsvermogen van de organisatie: in hoeverre is een organisatie in staat om te herstellen nadat een risico zich gemanifesteerd heeft?
Beperkingen
Een mogelijke beperking is echter dat het weerstandsvermogen van een organisatie niet eenvoudig is vast te stellen. Hooguit weten organisaties dit voor deelgebieden, door bijvoorbeeld scenario’s te maken voor stijgingen van grondstofprijzen, of de impact van teruglopende vraag op de winstgevendheid. Hoe groot het feitelijke weerstandsvermogen van de gehele organisatie is blijkt vaak pas wanneer majeure risico’s zich manifesteren. Als dan blijkt dat het weerstandsvermogen niet groot genoeg is, is men feitelijk te laat.
3 – Aanpassingsvermogen
De zienswijze ten aanzien van weerstandsvermogen raakt ook aan de vraag in hoeverre een organisatie überhaupt in staat is zich aan te passen aan een veranderde omgeving, omdat het weerstandsvermogen vaak verband houdt met het vermogen om in te spelen op veranderende omstandigheden (bijvoorbeeld een economische crisis). Traditioneel worden risico’s vaak gerelateerd aan verandering, daarbij wordt dan vergeten dat het omgekeerde ook risico’s behelst, namelijk niet of niet snel genoeg veranderen. De noodzaak tot verandering kan eenvoudig geïllustreerd worden op basis van concrete voorbeelden, denk aan Kodak en Nokia. Ooit waren dit toonaangevende namen, thans bevinden zij zich in de achterhoede.
Beperkingen
Vaak zijn er mentale blokkades bij bestuurders die ervoor zorgen dat zij niet de keuzen maken die moeten worden gemaakt, zoals het aanpassen van de organisatie om zodoende tijdig in te spelen op veranderingen (zie figuur 2). De irrationaliteit van het brein zit de bestuurder als het ware in de weg. Binnen het vakgebied van ‘behavioural economics’ wordt een begrip als de ‘cash flow trap’ gehanteerd. Met dit begrip wordt het verschijnsel aangeduid dat bestuurders in organisaties vaak middelen alloceren bij die onderdelen en activiteiten waarmee de organisatie in het verleden succesvol is geweest. Men vergeet dan dat de omstandigheden ondertussen gewijzigd zijn, bijvoorbeeld doordat concurrenten hun intrede hebben gedaan, waardoor het succes niet herhaalbaar is. Investeringen moeten dus gedaan worden in die activiteiten en organisatieonderdelen waar de organisatie in de toekomst de grootste bijdrage aan de organisatiedoelstelling verwacht.
In dit kader heeft professor Strikwerda een suggestie gedaan voor een nieuwe definitie van internal auditing, zoals uitgesproken in een rede op 3 november 2011: “Internal auditing is een functie in de interne organisatie van de onderneming of instelling, die onafhankelijk van alle overige onderdelen en functies van de organisatie, in het belang van de onderneming respectievelijk instelling, tot taak heeft het aanpassingsvermogen van de organisatie met betrekking tot uitgangspunten, concepten en dergelijke te verhogen door betrokkenen te confronteren met hun verouderde routines, mentale en psychologische blokkades, en cognitieve tekortkomingen en toeziet op een consistente implementatie van beoogde veranderingen”, hierbij verwijzend naar gedrag als belangrijke risicofactor.
Evenals bij het weerstandsvermogen geldt ook voor het aanpassingsvermogen dat dit moeilijk (op voorhand) is vast te stellen: hoe bepalen we of een organisatie snel genoeg verandert?
4 – Continuïteit van de organisatie
Bij in control zijn kan ook gedacht worden aan de continuïteit van de organisatie: in hoeverre is de organisatie in staat om haar lange termijn voortbestaan veilig te stellen?
In dit kader kan de definitie van Fligstein (1990) aangehaald worden: ‘Een onderneming is in control wanneer zij steeds die productiefactoren weet te verwerven, te behouden en te exploiteren zoals nodig voor de continuïteit van de onderneming’.
Beperkingen
Deze zienswijze kan als tamelijk academisch worden beschouwd, waarmee het ver afstaat van de belevingswereld van de gebruikers van het in-controlbegrip. De moeilijkheid ligt in het operationaliseren van de begrippen die in deze definitie gebruikt worden.
5 – Organisatiedoelen realiseren
In control kan ook worden uitgelegd als het vermogen van een organisatie om organisatiedoelen te realiseren; slaagt een organisatie hierin? Relevant daarbij is in hoeverre een organisatie gebruikmaakt van interne factoren, aangeduid als internal control versus invloed weet uit te oefenen op externe factoren, external control.
Bij internal control valt te denken aan keuzen over de strategie, structuur, verdeling van taken, bevoegheden en verantwoordelijkheden, toepassing van tight versus loose control, et cetera. External control betreft zaken als marktmacht, toegang tot kapitaal, de invloed die een organisatie op overheidsbesluitvorming kan uitvoeren, et cetera.
Een pleidooi voor kannibalisme
Een van de overwegingen die een rol speelt bij bedrijven om geen verandering te initiëren (producten, markten, klanten, behoeften, et cetera) komt voort uit angst om de bestaande bedrijfsactiviteiten en daarmee winsten te ondermijnen. Daarbij gaat het om situaties waarbij het vermarkten van een nieuw product de vraag naar een bestaand product zal doen verminderen. Wanneer organisaties deze redenering bewust of onbewust laten prevaleren, schieten ze in hun eigen voet, want in een vrijemarkteconomie is de kans groot dat andere partijen wel de betreffende stap durven te zetten. Daarom moeten organisaties het lef hebben om producten op de markt te brengen ook al bedreigen die bestaande producten. Uiteindelijk zijn zij dan op de lange termijn beter af.
Beperkingen
Het probleem met deze zienswijze is dat het als het ware een ‘lagging indicator’ is. Pas achteraf kan worden vastgesteld of organisatiedoelen zijn gerealiseerd en of de organisatie dus in control was. Dit geldt eveneens voor de voorgaande zienswijze (continuïteit van de organisatie). Ook geldt volgens deze zienswijze dat een ambitieuze organisatie eerder out of control is dan een minder ambitieuze organisatie. Echter, het niet halen van doelstellingen, wanneer de lat wel erg hoog gelegd is, is van een andere orde dan in financiële moeilijkheden raken.
In het kader van dit artikel is het ook goed te kijken naar de IIA-standaarden. De IIA-standaarden reppen niet over in control, maar over adequate control (toereikende beheersing): ‘Aanwezig als het management de beheersing zodanig heeft gepland en ontworpen, dat het een redelijke zekerheid biedt dat de risico’s van de organisatie doeltreffend worden gemanaged, en dat de beoogde resultaten en doelstellingen doelmatig en economisch worden gerealiseerd.’ Deze definitie van adequate control toont veel gelijkenis met de vijfde zienswijze in dit artikel, deze is namelijk geënt op het realiseren van doelen. Hierbij gelden dan ook dezelfde beperkingen.
6 – Onderbuikgevoel van de bestuurder
Een laatste zienswijze op in control zijn en die het meest in de buurt komt bij de beleving van medewerkers in de organisatie betreft het in control zijn als gevoel. Dit gevoel wordt beïnvloed door een aantal zaken. Hierbij valt te denken aan incidenten die zich voordoen, waarbij het kan gaan om zaken die daadwerkelijk verkeerd gaan, maar ook om zogeheten ‘near misses’, zaken die verkeerd gaan, maar die niet direct leiden tot negatieve gevolgen. Ook een gebrekkige informatievoorziening draagt vaak bij aan dit gevoel, de bestuurder krijgt niet de informatie die hij zou moeten krijgen, of informatie is niet juist, volledig of tijdig. Een derde factor is de mate waarin het zogeheten ‘management by exception’ vereist is. Bestuurt de bestuurder de organisatie actief of moet hij steeds reageren op incidenten die zich voordoen? Welk deel van zijn tijd is hij bezig met brandjes blussen? Ook kan het gevoel gevoed worden door achter de feiten aan te lopen, doordat bijvoorbeeld een toezichthouder zaken constateert voordat de organisatie deze zelf constateert of doordat de organisatie niet het door de toezichthouder gewenste verandertempo kan waarmaken.
Niets doen (bijvoorbeeld weloverwogen besluiten nemen om risico’s te accepteren) behoort dan ook tot de mogelijkheden
Wanneer men moeite heeft zich te verantwoorden, bijvoorbeeld doordat bestuurders vragen van de raad van commissarissen niet goed weten te beantwoorden en telkens opnieuw de eigen organisatie in moeten om de antwoorden te verkrijgen, dan kan dit ook bijdragen aan het gevoel niet in control te zijn. In control zijn begint wat dat betreft met goed geïnformeerd zijn. Medewerkers in een organisatie moeten informatie ontvangen op basis waarvan zij beslissingen kunnen nemen. Niets doen (bijvoorbeeld weloverwogen besluiten nemen om risico’s te accepteren) behoort dan ook tot de mogelijkheden.
Beperkingen
Hoewel deze zienswijze wel het meest aansluit bij de beleving van de gebruikers van het begrip blijft het vaag, omdat ‘gevoel’ per persoon bepaald is en gebaseerd is op de waarnemingen en ervaringen die per bestuurder of functionaris in een organisatie kunnen verschillen.
In control geen eenduidig begrip
Uit de genoemde zienswijzen kan worden afgeleid dat in control geen eenduidig begrip is en dat daar dus verschillend tegenaan gekeken kan worden. Het probleem met de meeste van deze zienswijzen is dat ze abstract van aard zijn en daarmee afstaan van de belevingswereld van de gebruikers van dit begrip. Ook is de voorspellende waarde gering, vaak kan alleen achteraf geconcludeerd worden dat de organisatie niet in control is.
In veel gevallen zien we dat wanneer het begrip gebruikt wordt er als het ware een geldigheidsbereik aan meegegeven wordt door het begrip te gebruiken in relatie tot een specifiek onderwerp (bijvoorbeeld: de organisatie is out of control ten aanzien van informatiebeveiliging). Ook de internal auditor doet dit door in het auditrapport duidelijk de reikwijdte en het aandachtsgebied van de audit te benoemen. Daarmee wordt dan als het ware een disclaimer opgenomen, bijvoorbeeld voor een IT-systeem dat wel gebruikt wordt in het geaudite proces, maar waar niet diepgaand naar gekeken is.
Het internal auditrapport als in-controlverklaring
Feitelijk bezien kan het oordeel van de auditor gezien worden als een in-controlverklaring. Immers, iedere audit draait om de vraag of het onderhavige object van onderzoek voldoende beheerst wordt. Hiervoor kijkt de auditor naar inherente en managed risico’s en naar gewenste en bestaande beheersingsinspanningen. Wanneer we indachtig de genoemde zienswijzen naar Internal Audit kijken, dan vertoont de alledaagse internal auditpraktijk toch de meeste raakvlakken met de eerstgenoemde zienswijze, namelijk vanuit het perspectief van risicobereidheid versus risicoblootstelling.
Iedere audit draait om de vraag of het onderhavige object van onderzoek voldoende beheerst wordt
Dit suggereert ook dat Internal Audit mogelijk kansen laat liggen door onvoldoende de andere zienswijzen ten aanzien van het in control zijn te behandelen. Mijns inziens is dit geval. Neem bijvoorbeeld de laatste zienswijze, het onderbuikgevoel van de bestuurder. Internal auditors hebben de neiging om naar feiten te willen kijken en dat als basis te gebruiken voor hun oordeelsvorming. Hiermee wordt voorbijgegaan aan de wetenschap dat perceptie ook een feit is. Als medewerkers in een organisatie zich bijvoorbeeld beklagen over de traagheid van het nieuwe ERP-systeem, dan is dat op dat moment hun mening (lees: perceptie). Echter, dat zij deze mening zijn toegedaan is een feit. Dergelijke percepties kunnen wel degelijk een rol spelen, bijvoorbeeld in de mate waarin gebruik wordt gemaakt van het systeem, of in het vertrouwen dat medewerkers in het systeem stellen. Daarmee is dit mogelijk een oorzaak/verklaring van problemen en ook iets dat separaat gemanaged moet worden, ook indien op basis van objectieve normen kan worden vastgesteld dat dit onjuist is.
Conclusie
In control is een diffuus begrip. Hoewel dit begrip veelvuldig gebruikt wordt is er veelal geen gedeeld beeld bij de gebruikers over wat hieronder verstaan moet worden. Internal auditors kunnen de meerwaarde van hun rapporten vergroten door ook te reflecteren op andere aspecten van in control zijn, zoals in dit artikel besproken als zienswijzen. Hierbij valt te denken aan het meer expliciet aandacht geven aan de risico’s die voortvloeien uit gedrag (zoals benadrukt door Strikwerda) en door percepties niet te negeren, ook indien daarvoor onvoldoende feitelijke onderbouwing wordt gevonden.
Over
Ewout Bouwman is manager bij KPMG van de afdeling Internal Audit, Risk en Compliance Services. Hij voert opdrachten uit op het gebied van Internal Audit, risicomanagement en internal control.
Reacties (0)
Lees meer over dit onderwerp:
IA als tool of management slecht gebruikt door RvB
Het lijkt erop dat raden van bestuur mogelijkheden laten liggen als het gaat om het gebruik van IA als tool of management. Een kritische beschouwing en een handreiking voor verbetering.
Lees meerWisseling van de wacht
Op 24 november 2015 vond de ALV van het IIA plaats en heeft Michel Kee het voorzitterschap van het IIA-bestuur overgedragen aan Vincent Moolenaar. Audit Magazine sprak met de oude en de nieuwe voorzitter
Lees meer
Wilt u ook een reactie plaatsen?
Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.