Auditen in een dynamisch complexe omgeving

Auditen in een dynamisch complexe omgeving

Auteur: Drs. Marty J.J. van den Nieuwelaar RO
Beeld: Martin Sanchez - Marc Olievier - Idyo - Vanessa Loring
12 min

In de rubriek Uit de archieven herplaatst de redactie een artikel met aansluitend de actuele annotatie van de auteur om de ontwikkeling van een thema te schetsen. Marty van den Nieuwelaar over zijn artikel ‘Auditen in een dynamisch complexe omgeving’ uit 2004.

Een aantal schijnbaar onverklaarbare verschijnselen uit de auditpraktijk zijn het gevolg van ‘dynamische complexiteit’. Dit wordt veroorzaakt door de wijze waarop we in de westerse wereld aankijken tegen ‘de realiteit’.

Onze blik wordt bepaald door het Cartesiaanse paradigma. Vanuit dit paradigma wordt dynamische complexiteit nader geanalyseerd en gemodelleerd. En blijkt dat dit paradigma geen oplossing biedt voor de beheersing van dynamische complexiteit. Studie naar de ontwikkeling van de mensheid heeft ons echter geleerd, dat paradoxen en de daarmee gepaard gaande complexiteit met enige regelmaat zijn op te lossen door met een andere ‘bril’ naar ‘de realiteit’ te kijken.

Inleiding

Voor dynamische complexiteit kan deze bril worden aangereikt vanuit het post-moderne paradigma. Getoond wordt dat met een aantal aanvullende inzichten de internal auditor in staat is dynamische complexiteit te herkennen en te auditen. Zo kan de eerste stap naar beheersing van dynamische complexiteit worden gezet.

Hiervoor zal de auditor de organisatie meer moeten bekijken vanuit een totaalbeeld, rekening houdend met zichtbare en minder zichtbare operationele, tactische en strategische processen. Mijns inziens kan met behulp van holistisch auditen dynamische complexiteit worden beheerst, waardoor organisaties met behulp van de internal auditor minder snel in de problemen komen of, erger nog, ten gronde gaan.

Beheersingsparadoxen

Vanuit mijn eigen auditpraktijk vind ik het een intrigerend verschijnsel dat processen die totaal anders werken dan in correcte procesbeschrijvingen, handboeken, regels en procedures is vastgelegd, desondanks keer op keer de output tijdig, juist en volledig weten te realiseren. Het is de vraag of deze processen het gewenste resultaat zouden bereiken wanneer alles ‘volgens het boekje’ zou verlopen.

Het tweede intrigerende verschijnsel is de bedreiging van het voortbestaan van betrouwbare organisaties als gevolg van ‘schandalen’. Enron, Parmalat, Ahold en de bouwfraude liggen nog vers in het geheugen. Het lijkt alsof deze organisaties door één voorval in een negatieve spiraal komen, die soms zelfs leidt tot de ondergang van de organisatie.

Een laatste verschijnsel is het veelvuldig mislukken van zorgvuldig voorbereide, geplande veranderingen. In de huidige tijd waarin sprake is van een toegenomen dynamiek en complexiteit van de omgeving van organisaties, lijken veranderingen steeds moeilijker te plannen en beheersen.

De hiervoor genoemde verschijnselen kenmerken zich door een beheersingsparadox. Ogenschijnlijk onbeheerste en toch kennelijk beheerste processen, ogenschijnlijk betrouwbare organisaties en sectoren met schandalige praktijken en ogenschijnlijk beheerste en toch onbeheerste veranderprocessen.

Deze paradoxen zijn effecten van dynamische complexiteit veroorzaakt door de wijze waarop wij in de westerse wereld aankijken tegen ‘de realiteit’ en de beheersing hiervan. Deze kijk op de wereld wordt ook wel het Cartesiaans paradigma genoemd.

Het Cartesiaanse paradigma legt een sterke nadruk op meetbaarheid van normen en wetmatigheden. Herhaalbaarheid, controleerbaarheid en verifieerbaarheid spelen een prominente rol

Auditen in het Cartesiaanse paradigma

Het Cartesiaans paradigma dankt zijn naam voornamelijk aan één van de grondleggers, namelijk de Franse filosoof en wiskundige René Descartes. In dit paradigma wordt de wereld gezien als één grote machine, die tot in de kleinste details uiteengerafeld kan worden in elementen om deze vervolgens te modelleren in logische causale verbanden en relaties. Dat heeft geleid tot een strikte scheiding van gevoel en verstand en een analytische top-downvisie waarin iedere deelverzameling als een apart systeem kan worden beschouwd zonder rekening te houden met de rest.

Het Cartesiaanse paradigma legt een sterke nadruk op meetbaarheid van normen en wetmatigheden. Herhaalbaarheid, controleerbaarheid en verifieerbaarheid spelen een prominente rol. Bij het modelleren van de werkelijkheid wordt veelvuldig gebruikgemaakt van wiskundige logica. Bij het toetsen van de modellen ligt de nadruk op de methodologische aanpak: als de aanpak correct is, dan is ook het resultaat van de toetsing dat.

Dit paradigma is nog steeds zeer bepalend voor ons huidig denken en handelen. Zo ook op onze wijze van het beheersen en toetsen van organisaties waarvan de vormen zijn gebaseerd op een sterk rationele, formele benadering van beheersing, voornamelijk gericht op de financiën en het stellen van doelen.

Bij de constructie van modellen volgens de dominante Angelsaksische benadering (Van Dinthen 2002) staat een beschrijving van de relaties in deze systemen centraal. De waarnemer van deze relaties staat bij deze benadering buiten het systeem. Zo ook de internal auditor, waarnemer bij uitstek. De kerncompetenties van de internal auditor zijn in deze benadering het ontwerpen van beheersingsmodellen en referentiekaders en het geven van een oordeel over de hieraan gerelateerde invulling van het begrip ‘werkelijkheid’. De internal auditor ontleent zijn legitimiteit voornamelijk aan de beheersingsdrift die in dit paradigma besloten ligt.

Uit de vorige paragraaf is gebleken dat dynamische complexiteit een bedreiging vormt voor deze legitimiteit. Wil deze legitimiteit behouden blijven, dan is het dan ook belangrijk dat we als internal auditors op zoek gaan naar middelen om grip te krijgen op de dynamische complexiteit. Een eerste stap is het verkrijgen van inzicht in dit fenomeen. Dit kan door gebruik te maken van de belangrijkste principes van het Cartesiaanse paradigma (analyse, causaliteit, modellering en de Angelsaksische systeembenadering).

Dynamische complexiteit nader verklaard

Bij het besturen, beheersen en evolueren van organisaties spelen identiteit, zelfhandhaving en zelftransformatie een cruciale rol. Hun onderlinge samenhang is in figuur 1 weergegeven. Deze drie elementen vormen een continu circulair proces. De evolutie van een organisatie begint in de meeste gevallen bij de wijziging van identiteit.

Figuur 1. Samenhang tussen identiteit, zelfhandhaving en zelftransformatie

Identiteit

Identiteit is in dit verband de positionering van de organisatie ten opzichte van de omgeving. In de Cartesiaanse zienswijze is hier vooral sprake van het systeem dat reageert op de omgeving. De identiteit vormt het referentiekader voor het denken en handelen van de medewerkers in de organisatie. Het vormt het meest stabiele element van de organisatie en zorgt voor cohesie. Processen die te maken hebben met identiteit zijn de vorming van missie/visie, strategievorming, jaarplanning, gedragscodes, et cetera. Identiteit vormt binnen internal auditing het onderwerp voor strategic auditing.

Verstoringen, zowel vanuit de organisatie als vanuit de omgeving bedreigen de identiteit. Hierbij moet men denken aan risico’s die de realisatie van de doelstellingen van de organisatie bedreigen. Soms zijn deze verstoringen klein zodat ze met relatief eenvoudige interventies min of meer automatisch opgelost kunnen worden. Als dit niet het geval is, dan treden zelfhandhavende processen in werking.

Zelfhandhaving

Zelfhandhavingsprocessen hebben betrekking op de mogelijkheden van de organisatie om zich continu te vernieuwen en aan te passen terwijl de identiteit gehandhaafd blijft. Het zijn veelal regelkringen die sturen op negatieve feedback. Ze reduceren afwijkingen en verstoringen totdat de stabiele situatie wederom is hersteld. Bekende zelfhandhavende processen zijn managementinterventies, storingsprocedures, incidentmanagement, het bijstellen van doelstellingen en het aanpassen van regels en procedures. Zelfhandhaving is de primaire focus van de huidige operational auditfunctie binnen internal auditing.

Zelftransformatie

Identiteit en zelfhandhaving hebben vooral te maken met de status quo van een organisatie en het behoud ervan. Omdat de omgeving continu verandert, zal de organisatie moeten evolueren om daarin te blijven passen zodat haar continuïteit wordt gewaarborgd. Er zijn twee vormen van dit soort zelftransformatie. De meest bekende is de beheerste zelftransformatie. Bij beheerste zelftransformatie gaat het om mogelijkheden om op een creatieve, maar geplande en beheerste manier buiten de eerder bestaande grenzen te treden waardoor de identiteit verandert.

Verandering verloopt niet altijd planmatig. Dan is er sprake van onbeheerste, spontane zelftransformatie

Het gaat hierbij vooral om geplande groei die in gang wordt gezet door positieve feedbackmechanismen. Deze brengen de organisatie bewust uit evenwicht. Men moet hierbij denken aan processen als innovatie, creativiteit, fundamenteel leren en geplande verandering. In de praktijk van de internal auditor zijn deze processen onderwerp van onderzoek in veranderingsondersteunende of veranderingkundige audits waarvoor de auditor beschikt over een scala aan veranderkundige modellen.

Zoals reeds aangegeven verloopt verandering niet altijd planmatig. Dan is er sprake van onbeheerste, spontane zelftransformatie. Ook hier spelen positieve feedbackmechanismen een belangrijke rol, maar deze worden door de organisatie niet als zodanig herkend. Het gevolg is dat deze mechanismen vrij hun gang kunnen gaan, waardoor zich allerlei onbegrepen en onvoorziene situaties voordoen.

Uiteindelijk zal het gedrag van de organisatie ogenschijnlijk instabiel, complex en uiterst gevoelig voor kleine veranderingen worden. Er is een chaotische situatie ontstaan. Afhankelijk van het zelforganiserend vermogen van de organisatie kan deze situatie leiden tot het bereiken van een nieuwe identiteit van een hoger complexiteitsniveau of tot teloorgang.

Voor de huidige praktijk van internal auditing is chaos een schrikbeeld. Chaos is onbeheersbaar en onvoorspelbaar. Tot op heden heeft de internal auditor zich dan ook weinig verdiept in dit fenomeen en bestaan er geen methoden en technieken om chaos wat meer te beheersen. Het onvoorspelbare vormt wel een belangrijke oorzaak van het fenomeen dynamische complexiteit.

Wil de internal auditor dynamische complexiteit kunnen onderzoeken dan zal hij dus chaos onder ogen moeten zien. Daarbij moet hij zich vooral richten op het herkennen van mechanismen die chaos en dynamische complexiteit veroorzaken om deze vervolgens te kunnen beheersen. Het Cartesiaans paradigma schiet hier tekort. De internal auditor zal zijn blikveld dan ook moeten verruimen. Het postmoderne paradigma biedt hiervoor enkele interessante inzichten.

Het postmoderne paradigma

Het postmoderne paradigma kent zijn oorsprong in het begin van de vorige eeuw en zet zich af tegen het Cartesiaanse paradigma. Een van de belangrijkste kenmerken is de terugkeer naar de holistische integrale visie op de realiteit. De postmodernisten zijn van mening dat de realiteit bestaat uit een hele reeks waarheden waarbij de ene waarheid niet bij voorbaat beter is dan de andere.

Modellen bestaan niet, hooguit beschrijvingen van waarnemingen. Gevoel, dialoog, gezond verstand en het loslaten van een zwart/wit-, juist/onjuist-engte spelen een belangrijke rol. Postmodernisten zijn tevens van mening dat het scheiden van object en subject onmogelijk is. Systeemgrenzen zijn permeabel, en de invloeden van de omgeving en de waarnemer zijn niet te scheiden van het waargenomen systeem.

Ook in de organisatiekunde begint het postmodernisme door te dringen. Dit is voornamelijk te herkennen in de theorieën rondom de lerende organisatie, chaosdenken, complexiteitsdenken en autopoiese. Kenmerkend voor het postmoderne paradigma in de organisatiekunde is dat organisaties niet meer gezien worden als een machine, maar als een levend wezen.

Voor de auditor betekent dit paradigma dat hij zich los moet maken van het Angelsaksische systeemdenken en dat hij om moet kunnen gaan met onzekerheid, toeval en chaos. Het gedrag van levende systemen is namelijk moeilijker voorspelbaar en de complexe niet-lineaire oorzaak-en-gevolgrelaties maken het moeilijk om deze systemen te beheersen. Een manier om hier als auditor mee om te gaan is de organisatie te benaderen volgens de Luhmaanse systeembenadering. Zijn benadering is gebaseerd op waarnemen en begrijpen hoe systemen zichzelf in stand houden. Hij ziet organisaties als levende systemen.

Levende systemen beslissen van binnenuit op welke invloeden zij zullen reageren en hoe zij dit gaat doen

Levende systemen beslissen van binnenuit op welke invloeden zij zullen reageren en hoe zij dit gaat doen. Waarneming van dergelijke systemen kan enkel van binnenuit gebeuren. Niet alleen de schil van de identiteit, maar ook de interne organisatie van het systeem wordt in termen van de omgeving gedefinieerd en daaraan aangepast -met de organisatie niet in een slachtofferrol maar zelf actief kiezend.

Aanvullende inzichten voor het auditen van dynamische complexiteit

Het postmoderne paradigma zou een bedreiging kunnen zijn voor de internal auditfunctie als deze zich niet zou kunnen aanpassen aan de veranderende omstandigheden. Echter, de aangereikte inzichten vanuit het postmoderne paradigma kunnen door de internal auditor gebruikt worden om dynamische complexiteit te herkennen en onder de aandacht te brengen van het management. Daartoe is het wel belangrijk dat de internal auditor meer aandacht besteedt aan de minder zichtbare processen die deel uitmaken van de identiteit, zelfhandhaving en zelftransformatie van een organisatie. Tenslotte moet aandacht besteed worden aan de onderlinge samenhang en wisselwerking tussen deze drie elementen.

Identiteit

Het belangrijkste aanvullende inzicht is dat organisaties als een levend systeem beschouwd moeten worden. Een wezenlijk kenmerk van een levend systeem is dat de organisatie zelf bepaalt welke omgevingsinvloeden van belang zijn en welke niet. Het is dan ook erg belangrijk om hier beter zicht op te krijgen omdat dit uiteindelijk als het goed is, leidt tot de missie, visie, strategie en/of gedragscode. Hierbij spelen onzichtbare mentale processen een belangrijke rol. Zij vormen enerzijds een referentiekader en anderzijds een filter voor de grote hoeveelheden informatie en verstoringen die op de organisatie afkomen.

De auditor moet zich richten op de kwaliteit van deze mentale modellen. Deze wordt bepaald door de wijze waarop men in staat is kennis te nemen van elkaars veronderstellingen en hiervoor begrip te kweken. Senge reikt een aantal belangrijke methoden en technieken aan waar de auditor gebruik van kan maken om deze kwaliteit te toetsen. Het betreft methoden en technieken rondom dialoog, action learning en de creatie van een veilige omgeving. Geen zaken om met Cartesiaanse checklists af te werken…

Zelfhandhaving

Bij dynamische en autonome systemen, bijvoorbeeld netwerkachtige ad hocratische structuren, kan men niet volstaan met het bestaande Cartesiaanse beheersingsinstrumentarium. Stafford Beer biedt een interessante kijk op de beheersing van levende systemen. Zijn vertrekpunt is het menselijk zenuwstelsel en de wijze waarop dit ons lichaam bestuurt en beheerst. Hiervan heeft hij vervolgens een cybernetisch model geconstrueerd, wat tevens toepasbaar is op organisaties. Dit Viable Systems Model is gebaseerd op de onderlinge wisselwerking tussen een vijftal deelsystemen die met een beperkt aantal regels in staat zijn dynamische en autonome systemen te beheersen.

Het nadeel van dit model is dat het nog onvoldoende rekening houdt met de sociaalpsychologische aspecten van de organisatie. In mijn afstudeerscriptie heb ik daarom de vijf systemen aangevuld met inzichten vanuit de theorie over de lerende organisatie. Voor de auditor is het vooral van belang om het leerklimaat van de organisatie te toetsen. Hierbij gaat het om het beoordelen van de mogelijkheden van de organisatie om fundamenteel of generatief (Senge, 1995) te leren. Enkele mogelijkheden zijn: de creatie van een open en vertrouwelijke werkomgeving; het bewerkstelligen van een goede informatievoorziening; het wegnemen van barrières die de communicatie bemoeilijken; alsmede het bevorderen van creatieve methoden en technieken om problemen te diagnosticeren.

Zelftransformatie

De chaos- en complexiteitstheorieën doen ons inzien dat ogenschijnlijk onbeheerste processen veelal ook volgens bepaalde vaste patronen en fasen verlopen. Het zijn echter non-lineaire patronen, waarvan het gedrag slechts in beperkte mate te voorspellen is.

De internal auditor moet zich richten op het achterhalen en herkennen van deze patronen. Daarbij kan hij goed gebruikmaken van de techniek van het achterhalen van archetypen van cirkels van causaliteit. Veelal zitten in deze archetypen bepaalde hefbomen opgesloten die, door het nemen van de juiste maatregelen, kunnen leiden tot structurele oplossingen voor dynamisch complexe problemen.

Als het niet mogelijk is om patronen te achterhalen, kan het gebruik van heuristische technieken nog leiden tot het voorkomen van de negatieve effecten van onbeheerste zelftransformatie. Deze technieken komen erop neer dat men op basis van een einddoel (bijvoorbeeld voorkomen faillissement) beheersmaatregelen gaat nemen waarbij men continu kijkt of men dichter of verder van het einddoel af is gekomen en dus de effectiviteit van de beheersmaatregelen ad hoc uitprobeert. De vruchtbare beheersmaatregelen moeten verder worden voortgezet, totdat hun effect nihil of negatief is. Door middel van de heuristiek leert het systeem al doende. De auditor zou in dit geval een rol kunnen spelen in de beoordeling van de effectiviteit-sec, en bij de bewaking van de methode.

Holistisch auditen

Het hiervoor genoemde zorgt nog voor onvoldoende grip op dynamische complexiteit. De risico’s zullen wel afnemen maar niet verdwijnen. Daartoe is het van belang om dynamische complexiteit en de organisatie integraal en holistisch te auditen. De meeste internal audits betreffen momenteel het proces van zelfhandhaving gericht op de normatieve/hardere kant van beheersing van de operationele processen, en in de meeste gevallen gericht op één aspect of dimensie. Er is vooralsnog weinig sprake van geïntegreerde vormen van auditing. Hiervoor zal de auditor zijn blik moeten verruimen. Hij moet meer holistisch auditen door het gebruik van inzichten uit het postmoderne paradigma.

Het toepassen van deze inzichten vergt echter ook andere vaardigheden van de auditor. Het toenemende belang van soft controls vereist kennis van sociaal-psychologische aspecten. Het kunnen doorgronden van niet-Cartesiaanse signalen vergt veel meer observerende en synthetische vaardigheden. Ook zal de auditor vaker moeten vertrouwen op zijn gevoel in plaats van op normatiek. Hopelijk wordt met behulp van holistisch auditen het probleem van dynamische complexiteit beter beheersbaar waardoor minder organisaties ten gronde gaan.

Ten slotte is het van belang dat ervaringen met betrekking tot de toepassing van deze inzichten onderling uitgewisseld worden. Ik sta open voor een dialoog over mijn denkbeelden en de ervaringen uit de praktijk.

 

Annotatie van Marty van den Nieuwelaar

Inmiddels zijn er achttien jaar verstreken sinds het verschijnen van mijn artikel in Audit Magazine. In die jaren heb ik op verschillende manieren een bijdrage geleverd aan het verder concretiseren van de inzichten in dit artikel. Enerzijds door het toepassen van deze inzichten als internal auditor en toezichthouder bij de Belastingdienst. Anderzijds als docent, trainer en referaatbegeleider bij respectievelijk de Belastingdienst, de vakorganisaties NBA/IIA en de opleiding Internal/Operational Auditor van de EUR/ESAA Internal Auditing & Advisory. De laatste jaren houd ik me meer bezig met de filosofische uitgangspunten van het auditvak.

De inzichten die ik destijds heb verwoord zijn nog steeds actueel. Sterker nog, de kernboodschap dat auditors hun legitimiteit kunnen verliezen als ze niet in staat zijn om met behulp van aanvullende (postmoderne) inzichten de dynamische complexiteit te begrijpen en beheersen, is urgenter dan twee decennia geleden.

De urgentie zit hem in twee constateringen. De eerste is evident. De afgelopen twintig jaar is de dynamische complexiteit bijna exponentieel toegenomen. We zijn de greep niet alleen als auditors, maar ook als maatschappij steeds meer aan het verliezen, getuige de toename van het aantal paradoxen, crises en maatschappelijke bedreigingen. We leven momenteel in een wereld die alleszins voorspelbaar is.

De tweede constatering is minder evident, maar niet minder bedreigend. Ik constateer dat de auditprofessie veel moeite heeft om het bestaande Cartesiaanse paradigma te ontstijgen. Men tracht de toegenomen dynamische complexiteit te beheersen met min of meer dezelfde auditmethoden en technieken als twintig jaar geleden. Innovaties die de grenzen van het bestaande auditparadigma verleggen, komen maar moeizaam van de grond.

Het artikel uit 2004 biedt daarvoor nog steeds waardevolle aanknopingspunten. Mijn denken over het postmoderne paradigma en het holistisch auditen heb ik de afgelopen jaren uitgebreid en verder uitgewerkt in een auditfilosofie die een denkmodel kan vormen voor de komende decennia, zoals ook de bedoeling was van het artikel uit 2004. Het denkmodel is gebaseerd op de nieuwste wetenschappelijke en wetenschapsfilosofische inzichten. Daarnaast is er in dit denkmodel veel aandacht voor het bewustzijn van de auditee en auditor in relatie tot ons denken, onze perceptie en oordeelsvorming.

Dit denkmodel zal de auditor nieuwe zienswijzen geven om enkele fundamentele uitgangspunten van het huidige auditparadigma kritisch te onderzoeken. Het zal ook nieuwe methoden en technieken introduceren, zoals heuristisch en fenomenologisch onderzoek en socratische gespreksvoering om meer inzicht te krijgen in betekenis en begripsvorming. Met behulp van integraal risicomanagement, dat gebaseerd is op de ideeën van Nassim Taleb en Daniël Kahneman, kan de dynamische complexiteit beter worden geanalyseerd en beheerst.

De voorgaande twee alinea’s vormen een zeer beknopte weergave van mijn denken over auditing en interne beheersing van de afgelopen achttien jaren. Ik ben momenteel bezig dit gedachtegoed te toetsen aan de huidige praktijk. Daarom ben ik op zoek naar auditors die hier een bijdrage aan willen leveren in de vorm van het voeren van dialogen over zeer uiteenlopende onderwerpen om het nieuwe auditparadigma en de onderliggende auditfilosofie verder handen en voeten te geven.

Over
Drs. Marty van den Nieuwelaar RO is sinds 2012 werkzaam als expertisemanager bij ASML. Daarvoor was hij als auditor, toezichthouder en vaktechnisch specialist werkzaam bij het ministerie van Financiën. In 2010 richtte hij NewICA op waar hij als trainer en consultant werkzaam is op het gebied van auditing en internal control. Hij was in 2005 een van de grondleggers van de cursus Auditen van soft controls, die hij jarenlang verzorgde bij de NBA en IIA Nederland.

Een artikel aanleveren? Lees onze auteursinstructies.
0 likes

Reacties (0)

Wilt u ook een reactie plaatsen?

Voor het plaatsen van een reactie vereisen wij dat u bent ingelogd. Heeft u nog geen account? Registreer u dan nu. Wilt u meer informatie over deze vereiste? Lees dan ons privacyreglement.

Lees meer over dit onderwerp:

Proactieve internal audit kan missing link opvullen in duurzaamheidsstrategie

In de rubriek Uit de archieven herplaatst de redactie een artikel met aansluitend de actuele annotatie van de auteur om de ontwikkeling van een thema te schetsen. Dit keer Arjan de Draaijer over zijn artikel ‘Proactieve internal audit kan missinglink opvullen in duurzaamheidsstrategie’ uit 2011.  Voor steeds meer bedrijven hangt het ondernemingssucces af van de […]

Lees meer