Muel Kaptein: “Soft controls zijn niet alleen een risicofactor”

Welke ontwikkelingen ziet u op het gebied van soft controls?

“De toepassing van soft controls is in ontwikkeling. Ver­ geleken met tien jaar geleden is er op dit vlak veel veranderd. Soft controls worden tegenwoordig vaak meegenomen als onderdeel van de audit en soms zelfs als auditobject gekozen. Daarnaast zie ik een stijgende belangstelling bij allerlei partijen buiten een organisatie voor het auditen van soft controls. Niet alleen bij beroepsverenigingen, maar ook bij externe toezichthouders, investeerders, overheden en ngo’s.
Het auditen van soft controls is een exportproduct geworden. Andere landen tonen interesse in de kennis en ervaring die wij als land hebben op het gebied van het auditen van soft controls. Zij vragen zich af hoe Nederland dit onderwerp aanpakt. Dit zijn landen als Australië, Zweden en Brazilië. Een belangrijke reden dat Nederland vooroploopt, is dat wij al lang bezig zijn met de vraag wat de balans is tussen hard controls en soft controls. Hoe beter zicht we hebben op de soft controls, hoe beter we de organisatie kunnen begrijpen en helpen. Het monitoren van soft controls is niet alleen een activiteit die wordt uitgevoerd door de derde lijn, maar steeds vaker ook door de tweede lijn. De afdelingen Riskmanagement en Compliance zijn steeds meer bezig met het doorlichten en bevorderen van soft controls. Ook vanuit de vierde lijn, de accountants, en de vijfde lijn, externe toezichthouders, is er aandacht voor soft controls en het auditen daarvan. Al deze aandacht zorgt ervoor dat de aandacht voor het auditen van soft controls nog verder toeneemt.”

Wat betekent dat?

“Het auditen van soft controls betekent niet alleen dat het belang ervan wordt erkend, dus het willen auditen ervan. Maar ook dat het kan worden geaudit. Hiervoor zijn raamwerken, methoden en vaardigheden noodzakelijk en gelukkig ook steeds meer beschikbaar. Daarnaast moet het organisatorisch mogelijk zijn. Dat betekent dat er binnen een organisatie waardering moet zijn voor het auditen van soft controls, zowel bij het management, het bestuur als de commissarissen. Als dit het geval is komen ‘kunnen’, ‘willen’ en ‘mogen’ bij elkaar. Tegelijkertijd zijn we er nog niet. KPMG heeft samen met het IIA een paar jaar geleden het volwassenheidsmodel soft controls opgesteld. Recent onderzoek van ons onder interne auditfuncties (IAF’s) laat zien dat we groeien in volwassenheid. Zo zien we dat er steeds vaker een systematisch en geïntegreerde soft-controlsaanpak wordt gehanteerd, dat de business bij soft controls audits wordt betrokken en dat er proactiever met soft controls aan de slag wordt gegaan.”

“Auditors denken weleens dat ze na het volgen van een eenmalige training met soft controls aan de slag kunnen. Zo werkt het niet. Rome is ook niet in één dag gebouwd”

In welke fase zitten de IAF’s in het volwassenheidsmodel?

“Gemiddeld genomen bevinden IAF’s zich in de middelste fase. Het model laat zien welke ontwikkelingsruimte er nog is. De IAF’s kunnen zich bijvoorbeeld ontwikkelen door een nog meer geïntegreerde aanpak op het gebied van soft controls. Daarnaast zien we een ontwikkeling dat IAF’s meer en meer gebruikmaken van de soft-controlsonderzoeken die de business zelf uitvoert. Bovendien zijn er steeds meer audittech-ieken beschikbaar die de auditor kan inzetten op het gebied van soft controls. Door deze technieken wordt het onderzoek verfijnder, betrouwbaarder en bruikbaarder. Een formulering als ‘het voorbeeldgedrag is onvoldoende’ past niet meer in de manier van rapporteren. Dan moet je toch echt aangeven op welke gebieden, in welke mate, met welke risico’s en welke oorzaken.”

Wanneer kun je echt zeggen dat je als IAF soft controls meeneemt?

“Als je soft controls op een systematische wijze audit, je voldoende geëquipeerd bent en over soft controls rapporteert. In het verleden was het zo dat de opdrachtgever tevreden was als de auditor iets rapporteerde over soft controls. Zo van ‘mooie bijvangst!’ Tegenwoordig mag de opdrachtgever ervan uitgaan dat wanneer in de rapportage niets wordt gezegd over soft controls, deze op orde zijn en ze geen risicofactor vormen. Dit is een omslag in het denken. Daardoor ligt er een grote verantwoordelijkheid bij internal auditor. Geen bericht is goed bericht. Dus je moet uitsluiten dat de soft controls niet op orde zijn.”

Wat is de concrete verantwoordelijkheid van de IAF in het toetsen van soft controls?

“De IAF moet nagaan waar en hoe de soft controls bijdragen aan het realiseren van de strategische doelstellingen van de organisatie. Daarnaast beoordeelt de IAF of de soft controls een risicofactor zijn bij het realiseren van deze strategische doelen. Dat zijn twee fundamentele vragen voor de IAF. Ook vind ik het de verantwoordelijkheid van de IAF niet alleen op organisatieniveau te kijken naar de soft controls, maar ook specifiek per afdeling, proces, thema en functielaag. Want de soft controls kunnen daartussen variëren. De huidige ontwikkeling is dat de IAF gelukkig veel diepgravender kijkt naar soft controls dan voorheen. Bovendien is het auditen van soft controls niet een eenmalige exercitie. Het gaat steeds meer om het volgen van de ontwikkeling ervan in de tijd. De soft controls kunnen vandaag in orde zijn, maar morgen zijn verslechterd. Dus het is, wat mij betreft, de verantwoordelijkheid van de IAF om soft controls geregeld te toetsen.”

Wordt het auditen van soft controls door de raden van bestuur belangrijk gevonden?

“Dat is een paradox. Hoe minder belangrijk een raad van bestuur het auditen van soft controls vindt, hoe belangrijker het auditen van soft controls is. Als een raad van bestuur het auditen van soft controls belangrijk vindt, dan vinden ze soft controls vaak ook belangrijk en wordt daarmee al voldaan aan een belangrijke voorwaarde van goede soft controls, namelijk voorbeeldgedrag van de top. Echter, als het bestuur het audi-ten van soft controls niets vindt, dan er is vaak meer aan de hand met hun leiderschap en daarmee met de soft controls in de organisatie. Gelukkig zijn bestuurders zich steeds meer bewust van het belang van soft controls. Soft controls dienen volgens hen op orde te zijn om de strategische doelstellingen van hun organisatie te kunnen halen. Soft controls zijn niet alleen een risicofactor maar ook een succesfactor.”

Wanneer worden soft controls een auditobject?

“Altijd, zou ik zeggen. Als een proces voor 100% geautomatiseerd is, zou je denken dat soft controls niet relevant zijn. Maar dan nog steeds ben je afhankelijk van degenen die het proces ontwerpen, programmeren, beheren en onderhouden. Bovendien neemt het belang steeds meer toe. Door plattere organisatievormen en meer zelfsturende teams word je als organisatie meer afhankelijk van de kwaliteit van soft controls. Bovendien zie ik dat organisaties steeds meer purposegedreven worden. Hierdoor doe je een groter beroep op de houding van mensen binnen de organisatie. Daarbij is het voor auditors van belang te bepalen of de soft controls de purpose ondersteunen.”

Vinden deze audits daadwerkelijk plaats?

“Ik kan niet alle ontwikkelingen in heel Nederland overzien. Maar bij trainingen die ik geef aan bestuurders en commissarissen over het monitoren van de purpose van een organisatie, vertel ik dat het realiseren van de purpose staat of valt met de soft controls binnen die organisatie. Als ik ze vervolgens vraag of zij door de interne auditafdeling worden geïnformeerd over de mate waarin de soft controls bijdragen aan de purpose, dan zie ik meestal glazige blikken. De belangrijkste oorzaken hiervoor zijn in mijn optiek dat de purpose van organisaties een nieuw en onbekend onderwerp is. Prioriteiten en tijdsgebrek kunnen ook een oorzaak zijn. IAF’s hebben te maken met een volle agenda en dit komt er nog eens bij. Ook is het denken in termen van de purposecultuur een nieuwe manier van denken over de toegevoegde waarde van soft controls. Maar ook hier geldt weer dat naarmate bestuurders en commissarissen minder vragen over de purposecultuur, dit waarschijnlijk niet op hun radar staat. Hoe meer je ze dus kunt helpen als auditor door hiernaar een audit te doen.”

Kan elke auditor met soft controls aan de slag?

“Mijn vertrekpunt is dat elke auditor hiermee aan de slag kan gaan. In beginsel heeft iedere auditor de juiste bagage. Een auditor denkt al planmatig, in risico’s en raamwerken. Een auditor is methodisch onderlegd. Auditors die zichzelf verschuilen achter onvoldoende kennis en interesse, doen zichzelf als auditor tekort. Ga maar eens voor jezelf na hoe belangrijk soft controls in je eigen werk zijn. Auditors zijn geen robots. Dat is maar goed ook. En als dat voor jezelf geldt, dan geldt dit ook voor alle andere mensen in je organisatie.”

Is verdiepend onderzoek naar onderwerpen zoals cultuur, leiderschapsstijl­ en motivatie niet meer een eerstelijns- of tweedelijnsfunctie?

“Afdelingen zoals Hrm verrichten inderdaad vaak onderzoek naar soft controls. Het is belangrijk om als IAF samenwerking te zoeken met deze functies om alleen al consistentie in de definities te waarborgen. Als je als IAF vaststelt dat er verschillende definities en modellen binnen een organisatie worden gebruikt, dan heb je alvast één belangrijke bevinding binnen.”

Het onderzoeken en rapporteren van onderwerpen als voorbeeldgedrag kunnen een uitdaging zijn. Hoe kan een IAF dit het best aanpakken?

“Hiervoor komen auditors nog weleens voor advies bij mij en mijn collega’s langs. Het is belangrijk je te realiseren dat deze audits gaan over een patroon van gedragingen en niet over het gedrag van een individuele bestuurder. Dat laatste wordt al snel forensisch onderzoek. Bovendien gaat het niet sec om patronen van gedrag, maar wat dit doet met anderen binnen de organisatie. Zoek daarnaast het haakje waaraan je dit soort onderwerpen kunt ophangen. Noem het bijvoorbeeld geen audit naar leiderschap of voorbeeldgedrag, maar kijk waar het bestuur warm van wordt. Dit kan bijvoorbeeld de strategie van een organisatie zijn en neem dan het onderwerp strategisch leiderschap mee in de audit.”

“De soft controls kunnen vandaag in orde zijn, maar morgen zijn verslechterd. Het is de verantwoordelijkheid van de IAF om soft controls geregeld te toetsen”

Wat is de grootste valkuil voor de IAF?

“Dit zijn er eigenlijk twee, als ik zo vrij mag zijn. Rome is niet in één dag gebouwd. Auditors denken weleens dat ze na het volgen van een eenmalige training met soft controls aan de slag kunnen. Zo werkt het niet. Het vergt oefening en oefening baart kunst. Dus de tijd ervoor nemen en niet te snel gaan. Zorg ook dat je de business meeneemt in de ontwikkeling. De tweede valkuil is de eerder genoemde paradox. Hoe minder aandacht het bestuur geeft aan soft controls, hoe belangrijker soft controls audits zijn. Het is een valkuil te denken dat het bestuur bepaalt of het auditen van soft controls gebeurt.”

Hebt u nog een afsluitend advies voor de IAF?

“Hanteer een open benadering als je aan de slag gaat met dit onderwerp. Er is niet één methode, één model en één aanpak. Trek daarbij vooral tijd uit voor het opstellen van een goed normenkader, want dit is de helft van het werk. Stem dit normenkader af met de opdrachtgever of, sterker nog, maak het gezamenlijk want dit bevordert de acceptatie. Ook goed voor de acceptatie van het auditen van soft controls is trouwens het geven van een compliment aan het management voor wat zij goed doen op het gebied van soft controls.”

Ten slotte, wat betekent de coronacrisis voor het auditen van soft controls?

“Dat is natuurlijk allereerst een relevante vraag voor auditors zelf: wat doet de crisis met de soft controls in mijn organisatie? Verbeteren ze of verslechteren ze? En waarom en met welke risico’s? En wat betekent dit voor mijn auditwerk? Ik zie dat de crisis momenteel een heel verschillend effect heeft op de soft controls binnen organisaties. Ik zie dat in de ene organisatie soft controls zoals betrokkenheid en leiderschap verbeteren, terwijl in de andere organisatie soft controls als bespreekbaarheid en uitvoerbaarheid verslechteren. In ieder geval vraagt deze crisistijd van auditors een verzwaarde dijkbewaking. Want naarmate de druk op en binnen een organisatie toeneemt, worden soft controls belangrijker om voldoende tegenwicht te kunnen bieden, en wordt het belangrijker te weten of dit het geval is. Ook voor de periode na de crisis, wanneer het herstel plaatsvindt, is het van belang te weten of de soft controls goed worden benut. Laten we hopen dat het herstel spoedig komt en voorspoedig gaat. En dat niet ondanks de soft controls maar dankzij de soft controls.”