Zuurstof in het management-controlsysteem

Bij de Rijksoverheid klinkt vanuit het topmanagement een steeds luidere roep om meer beleidsruimte voor het decentraal management. Aan de andere kant komen er meer regels die deze ruimte juist beperken. Hoe kan deze paradox in de praktijk hanteerbaar worden gemaakt?

Het voornemen om meer verantwoordelijkheid te leggen bij het management dateert al uit 2005. In 2015 is opnieuw de wens van een doelmatig en risico- en resultaatgericht controle-bestel uitgesproken. Van zero tolerance naar meer ruimte voor passende oplossingen. Deze ruimte wordt de ‘zuurstof in het systeem’ genoemd. Deze zuurstof moet in het systeem ingebouwd worden, naast de aandacht die er is voor rechtmatigheidsbeheersing, verantwoording en audit op niet-naleving.

Vormgeving regels

Hoe je het wendt of keert, het begint bij de vormgeving van de regels. Met regels is op zich niets mis. Regels bieden houvast en duidelijkheid. Het geeft bijvoorbeeld een gerust gevoel dat er een (verkeers)regel is die iedereen verplicht rechts te rijden. Regelgeving is een middel om een probleem op te lossen of een bepaald doel te bereiken. Maar regels hebben ook een keerzijde:

• regels zijn noodzakelijkerwijs algemeen geformuleerd;
• niet alles is in regels te vangen. Er zijn immers altijd meer situaties dan regels;
• regels kunnen elkaar tegenspreken en de inhoud of de bedoeling van regels is niet altijd helder;
• regels lopen in een dynamische wereld vaak achter op de ontwikkelingen.

Regel alleen de essentiële kaders en bepalingen: zaken waarop je zeker moet kunnen rekenen en/of waarvoor uniformiteit geboden is

Kortom, terughoudendheid met regelgeving is geboden. Regel alleen de essentiële kaders en bepalingen: zaken waarop je zeker moet kunnen rekenen en/of waarvoor uniformiteit geboden is. Dit zijn de rode (stringente) regels.  In de management- controlliteratuur wordt dit type regels ook ‘tight controls’ genoemd. Hier zal de (centrale) leiding strikt de hand aan moeten houden. Naast deze rode regels dient gebruikgemaakt te worden van regels met een zekere beleidsruimte. Hier zijn afwegingen mogelijk: er is niet eenduidig sprake van ‘goed of fout’. Dit zijn de blauwe regels. Voor deze categorie geldt: ‘comply or explain’. Daarnaast zijn er nog de groene regels waaruit geen verplichting voortvloeit. Dit zijn ‘informatieve handreikingen’ die worden gebruikt voor ‘beïnvloeding’. Deze handreikingen moeten echter niet tot regels (normenkader) uitgroeien.

Inbouwen in het management control systeem

Het management-controlsysteem (MSC) moet zorgen voor de verbinding tussen de doelstellingen van de organisatie enerzijds en het gedrag in de praktijk anderzijds en is als zodanig veel breder dan alleen de maatregelen gericht op naleving van regels.¹

Een deel van de (centrale) regelgeving is voor de organisatie een gegeven dat zo goed mogelijk in de organisatie  ingebed moet worden. Deze inbedding dient zoveel mogelijk met behulp van IT-systemen te geschieden: inbouwen onder de ‘motorkap’, met signalen op het dashboard als zaken niet goed lopen. Daarnaast is de doelcongruentie essentieel: alle medewerkers dienen achter de organisatiedoelstellingen te staan. Het gaat erom dat zij in hun feitelijk gedrag daaraan invulling geven. Hierbij komen allerlei keuzen aan de orde die vaak een professionele afweging vergen. Dit afwegingsproces zal binnen de organisatie in het MCS verankerd moeten zijn, evenals de naleving van regelgeving.

Bij dit ‘inbouwen onder de motorkap’ (in de IT-systemen) kan gebruikgemaakt worden van (een combinatie van) de hiervoor genoemde indeling in rood, blauw en groen.

• Rood: verboden – In het systeem kun je gewoon niet verder. In geval van de mogelijkheid van ontheffing door degene die daartoe bevoegd is, kun je alleen verder als daarvoor machtiging is ontvangen. Deze ontheffing wordt gelogd en daarover zal verantwoording afgelegd worden door degene die deze machtiging heeft gegeven.
• Blauw: geef toelichting – In het systeem wordt een afwijking (‘not comply’) gelogd en in een overzicht opgenomen. Degene die deze afwijking heeft ingevoerd, moet deze ook toelichten.
• Groen: slim gebruiken – Het systeem logt de handeling wel, net als de rode en de blauwe handelingen, maar alleen voor datamining, processmining en continuous monitoring.

Een voorbeeld: het nieuwe reisaanvraagsysteem bij de Rijksoverheid. Het IT-systeem kent bandbreedtes waarbinnen medewerkers vrijelijk keuzen kunnen maken (binnen alle ‘groene’ vluchten die het systeem oppert, mag je zelf kiezen welke je neemt). En er is een ‘comply or explain’-deel: wil je een vlucht die duurder is, dan ben je verplicht dit te motiveren in het systeem. De manager moet dit goedkeuren voordat het systeem deze boeking toestaat.

Met behulp van de informatie uit het MCS kan de manager verantwoording afleggen:

• Gaan de zaken goed?
• Is de basis op orde?
• Worden de doelstellingen gerealiseerd?
• Welke risico’s worden daarbij gelopen en passen deze (rest)risico’s bij de risicobereidheid van de organisatie?

Het gaat om verantwoording op hoofdlijnen, inclusief een overall beeld waar van de regels is afgeweken en waarom. De manager geeft aan op welke punten de organisatie wel en op welke punten minder in control is. Verbetermaatregelen kunnen het beeld complementeren.

Er bestaat geen absolute zekerheid. Het is belangrijk te investeren in gerechtvaardigd vertrouwen

De rol van de interne auditor 

Voor de leiding van een organisatie is het belangrijk inzicht te hebben in hoeverre het kan steunen op het functioneren van het interne MCS, inclusief een goed gebruik van de beleidsruimte door de medewerkers. De internal auditor kan hierin voorzien door het uitvoeren van een audit waarbij gebruikgemaakt wordt van de negen kritische succesfactoren voor gerechtvaardigd vertrouwen.² Hierna volgt een uitwerking van deze negen kritische succesfactoren, toegespitst op het kunnen vertrouwen van de leiding van een organisatie op het interne MCS (realiseren bedrijfsvoeringsdoelstellingen).
­

1. Duidelijke afspraken over de beheersing van de bedrijfsvoeringsdoelstellingen (verwachtingen omtrent het MCS)
   Zijn de (beheers)ambities ten aanzien van het realiseren van de (bedrijfsvoerings)doelstellingen en het naleven van de regels geconcretiseerd?  Is er een duidelijke hiërarchie of prioritering van regels? Welke ruimte wordt in het MSC op dit punt gegeven en aan wie? Is daar intern, ook richting medewerkers ten aanzien van hun beleidsvrijheid, duidelijkheid over? Hoe doelmatig is een regel wanneer het naleven van een regel meer geld/tijd kost zonder een bijdrage te leveren aan het beoogde doel.
   ­
2. Afspraken/verwachtingen kunnen waarmaken
   De organisatie heeft kennis en kunde om de verwachtingen omtrent de beheersing van de bedrijfsvoeringdoelstellingen en het MCS, ook waar te maken. Dit betreft niet alleen het vorm en inhoud geven aan de interne bedrijfsvoeringsbeleid zelf, maar ook kennis en kunde op het punt van het naleven van de regels en het maken van de juiste afwegingen/keuzen binnen de bedrijfsvoering in een complexe (bestuurlijke) omgeving. Tenslotte is de kennis en kunde met betrekking tot het intern verbinden van beide oriëntaties, te weten regelnaleving versus beleidsafwegingen, belangrijk.
   ­
3. Voldoende gedeeld belang
   Wat betreft de verwachtingen dienen er tussen de leiding en de medewerkers voldoende gedeelde belangen te bestaan om ervan verzekerd te zijn dat er ‘samen opgelopen’ wordt. Binnen de organisatie kunnen er uiteenlopende belangen of verschillen in oriëntatie zijn, kostenafwegingen kunnen bijvoorbeeld voor de leiding voorop staan, voor de medewerkers kan dat een optimale (duurdere) uitvoering van de werkzaamheden zijn. Maar ook: de leiding wil eenduidigheid, medewerkers beleidsruimte. Of andersom: de leiding wil graag ruimte geven, medewerkers willen juist duidelijkheid. In hoeverre slaagt de organisatie erin de verschillen in belangen/oriëntatie intern zoveel mogelijk op een lijn te brengen en te vertalen in het MCS.­­
   ­­
4. Goed gevoel
   Het MCS moet de leiding een goed gevoel geven. Steunen op het MCS betekent durven te vertrouwen op het functioneren van het MCS van de organisatie, ofwel, durven loslaten en de medewerkers waar mogelijk ruimte durven te geven. De leiding moet dit in woord en daad vormgeven en bepaalt hiermee de tone at the top. Dit is een zeer belangrijke en vaak beslissende factor die niet altijd benoemd wordt omdat die als ongrijpbaar gezien wordt.
   ­
5. Doorlopend goede informatie-uitwisseling
   Naast de reguliere interne informatie-uitwisseling zijn tijdige signalen over afwijkende ontwikkelingen/incidenten misschien nog wel belangrijker. Het gaat erom dat deze informatie – al dan niet informeel uitgewisseld – ervoor zorgt dat de leiding, maar ook de medewerkers niet voor verrassingen worden gesteld. Dit betekent intern een open communicatie op ieder moment over de invulling van de (beleids)ruimte, en het bespreken van eventuele spanning tussen doelstellingen en regels. Dit geldt ook voor ‘bijna-ongelukken’, et cetera.

   Vertrouwen op het MCS door de leiding moet geen blind vertrouwen zijn. Interne controle en reality checks door de controller en regelmatige doorlichting door de auditor moeten vanzelfsprekend zijn­
   ­

6. Zicht op risico’s en acceptatie van risico’s
   Welk zicht heeft de leiding op het risico dat hun verwachtingen ten aanzien van de interne beheersing door het MCS niet altijd zullen worden waargemaakt en in welke mate zijn zij bereid dit risico te accepteren? Geen enkel MCS zal alle risico’s in zijn geheel kunnen mitigeren. Ook in een strikte rule-basedomgeving met veel controle, zullen risico’s kunnen optreden: schijnzekerheid, geen verantwoordelijkheid nemen, verminderde alertheid als alles belangrijk is, et cetera. Welke risico’s komen naar voren uit de risicoanalyse van de organisatie zelf en het risico management systeem dat onderdeel uitmaakt van het management control systeem? Hoe wordt daarbij door de organisatie omgegaan met deze risico’s?
   ­
7. Controle/kritische vragen mogen stellen
   Vertrouwen op het MCS door de leiding moet geen blind vertrouwen zijn. Interne controle en reality checks door de controller en regelmatige doorlichting van het MCS door de auditor moeten vanzelfsprekend zijn. Dit kan ook een vraag om nadere toelichting zijn als er op basis van andere informatie concrete vraagpunten zijn (tegenstrijdige signalen, et cetera). Deze monitoring/controls dienen ervoor om te zorgen dat het vertrouwen van de leiding in het MCS en daarmee ook in het gedrag van de medewerkers voldoende grondslag heeft.
   ­
8. Bespreken van incidenten en daarvan leren
   Er kan en zal in ieder MCS af en toe iets misgaan. Dit is een van de risico’s die binnen een bepaalde marge geaccepteerd moet worden. Tegelijkertijd ziet iedereen graag dat het zo min mogelijk voorkomt, vooral bij essentiële regels. Dan gaat het erom dit in openheid intern te bespreken, te analyseren opdat, als onderdeel van het MCS, geleerd kan worden.
   ­
9. Consequenties bij te veel of bewuste inbreuken
   Als er te veel inbreuken zijn (zonder verbetering) of als binnen de organisatie ernstige inbreuken niet worden gemeld, dan is er een grens. Dan is steunen op het MCS door de leiding in die situatie niet (meer) mogelijk. Dan zal de leiding intern aan die veelvuldige en/of ernstige inbreuken consequenties dienen te verbinden (bijvoorbeeld extra intern toezicht, personele consequenties). Eerst zal de basis op orde gebracht dienen te worden, pas daarna zal vertrouwen op het MCS (inclusief beleidsruimte) weer aan de orde kunnen zijn.

Afsluiting

Er bestaat geen absolute zekerheid. Belangrijk is te investeren in gerechtvaardigd vertrouwen met een daarbij behorend loslaten (= risicoacceptatie) binnen bepaalde grenzen. Gerechtvaardigd vertrouwen is sterk afhankelijk van de mate van volwassenheid en professionaliteit van de organisatie. Dat zou voorop moeten staan: het in control zijn van de organisatie met behulp van het management-controlsysteem. Met een gerichte audit hiernaar zoals op hoofdlijnen beschreven in dit artikel, kan de interne auditor hieraan een bijdrage leveren.

Noten

1. Definitie: alle formele en informele interne processen, afspraken, procedures en gedragsbeïnvloedende maatregelen (dus hard en soft controls), die een organisatie gebruikt om haar doelen te realiseren.
2. Vertrouwen geven en in control zijn; gaat dat samen?, ministerie van Financiën, 2009.