• No results found

SOFT CONTROLS EN INTERNAL AUDIT IN DE FINANCIËLE SECTOR Een gelukkig huwelijk waarin nog lekker veel te ontdekken valt

N/A
N/A
Info
Downloaden
Protected

Academic year: 2022

Share "SOFT CONTROLS EN INTERNAL AUDIT IN DE FINANCIËLE SECTOR Een gelukkig huwelijk waarin nog lekker veel te ontdekken valt"

Copied!
3
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 3 pagina )

Hele tekst

(1)

SOFT CONTROLS EN INTERNAL AUDIT IN DE FINANCIËLE SECTOR

Een gelukkig huwelijk waarin nog lekker veel te ontdekken valt

Organisaties zijn samenwerkingsverbanden van mensen. En dus is het juiste menselijk gedrag doorslag- gevend bij het al dan niet bereiken van de doelstellingen. Klinkt logisch. Minder logisch is dat internal audit jarenlang weinig aandacht heeft gehad voor dit gedragsaspect, zowel waar het gaat om de ‘tone at the top’ als in de gedrags- en cultuuraspecten in de hele organisatie.

Vanuit die achtergrond organiseerde BDO op 19 november 2013 samen met het Institute of Internal Auditors (IIA) een round table rondom soft controls. Centrale vragen daarin: Welke rol kan internal audit spelen ten aanzien van soft controls? Hoe kunnen we die rol beter pakken? En wat zijn de belangrijkste uitdagingen?

Pasklare antwoorden bleken er niet altijd te zijn en dat maakt het thema des te interessanter. Een belang- rijke conclusie van de avond: “Het is belangrijker om het gesprek over gedrag op gang te krijgen binnen de organisatie dan om volledig gelijk te krijgen met een doortimmerde aanpak en formele rapportages.”

De timing van de bijeenkomst kon niet beter. Een week voor de round table gooide hoogleraar Hans Strikwerda namelijk wat olie op het vuur door te reageren op een opiniestuk van collega hoogleraar en KPMG-partner Muel Kaptein. De laatste had in Het Financieele Dagblad betoogd dat accountants meer aandacht moeten geven aan de ‘tone at the top’ en dat bedrijven daar bij de keuze voor hun accountant veel scherper op moeten letten.

Dat schoot in het verkeerde keelgat bij Strikwerda. Zijn tegenbetoog kwam er kort gezegd op neer dat accoun- tants en internal auditors zich vooral niet moeten bemoeien met de toon in de bedrijfstop. Want daar hebben ze helemaal geen verstand van.

Op dat laatste aspect komen we later terug. Eerst staan we stil bij het belang van soft controls. Dát tone at the top – en gedragsaspecten in bredere zin – van groot belang is, daarvan hoeft vrijwel niemand meer te worden overtuigd. We kunnen organisaties helemaal volhangen met strakke procedures en controlemaatregelen, iedereen realiseert zich dat die enkel zinnig en doeltreffend zijn in de juiste cultuur. Een indrukwekkend rijtje voorbeelden vormt het bewijs. In willekeurige volgorde: de geruchtmakende boekhoudfraude bij Enron, de recente LIBOR- case bij Rabobank, de Vestia-affaire, de ramp met het BP-olieplatform voor de kust van Mexico.

1

(2)

Bij al deze cases geldt dat er op papier sprake was van uitstekende beheersingsmaatregelen en ging het (onder andere) fout doordat ongewenst menselijk gedrag langere tijd werd getolereerd. Deze incidenten bewijzen dan ook dat harde controls – functiescheidingen, controles en dergelijke – weliswaar nodig zijn maar dat deze alleen zin hebben als de soft controls – verschillende aspecten van de organisatiecultuur – ook goed op orde zijn.

Soft control

Een soft control is een (beheersings)maatregel die (meer dan hard controls) ingrijpt op c.q. appelleert aan het persoonlijk functioneren van medewerkers (overtuiging, persoonlijkheid). Soft controls zijn op te vatten als maatregelen die van invloed zijn op bijvoorbeeld de motivatie, loyaliteit, integriteit, inspiratie en normen en waarden van medewerkers.

Auditen van Soft Controls – De Heus en Stremmelaar

De vraag die tijdens de round table met vertegenwoordigers van Internal Audit uit de financiële sector op tafel lag was: Hoe gaan internal auditors (nu en in de toekomst) om met deze wetenschap?

De discussie hierover werd opgewarmd door twee inleiders. Allereerst gaf IIA-vicevoorzitter John Bendermacher een tour d’horizon van de veelheid aan ontwikkelingen waar het vak voor staat. Hij gaf daarbij ook de niet mis te verstane boodschap af dat de toekomst wat hem betreft ligt in een integrated audit (met aandacht voor de drie componenten systeem-proces-mens) en dat de auditor dus wel degelijk een rol moet spelen waar het gaat om soft controls. Aansluitend daaraan vertelde Willem van Loon over zijn ervaringen bij Triodos Bank.

De discussie was levendig en was voor menigeen een feest van herkenning. Het onderwerp blijkt overal in grote lijnen dezelfde uitdagingen op te leveren. Terugkijkend waren vooral de volgende thema’s relevant.

Soft controls zijn meer dan een hype

Niet alleen bedrijven, maar ook toezichthouders en commissarissen zien steeds nadrukkelijker in dat het op elkaar stapelen van harde controls een heilloze weg is als er geen aandacht is voor het feitelijke gedrag in een organisatie. Zowel de Autoriteit Financiële Markten (AFM) als De Nederlandsche Bank (DNB) blijkt in haar rol meer aandacht aan dit aspect te willen besteden. De tijd lijkt er dan ook rijp voor dat Internal Audit dit werkgebied serieus oppakt. Overigens gaat het er hierbij niet alleen maar om dat soft controls helpen om incidenten en/of fraude te voorkomen. De interesse voor het thema komt ook voort uit een positieve insteek: het succes van een organisatie wordt bepaald door het gedrag, van zowel de medewerkers als van het management.

De gedeelde opinie aan tafel was dan ook dat het thema geen hype is die weer overwaait. Met de kanttekening dat er wel “erg veel over wordt gekletst, misschien zit daar wel de hype in...”.

Worsteling met de precieze aanpak

Hoe doe je dat dan precies, zo’n audit op soft controls? Dat blijkt een van de meest weerbarstige onderwerpen in de praktijk. Een van de deelnemers vertelde hoe toezichthouder DNB in een pilot over het monitoren van soft controls besloot om zelf een aantal keren aan te schuiven bij boardmeetings om daarmee te ervaren hoe de tone at the top is. Daarbij komt de vraag op hoe zinnig dat precies is. Want je aanwezigheid verandert immers de dynamiek van de omgangsvormen en het gesprek aan tafel.

Het voorbeeld is exemplarisch voor de worsteling die er in de praktijk lijkt te bestaan over de precieze aanpak.

Praktische voorbeelden variëren sterk

Een van de deelnemers vertelde dat Internal Audit jaarlijks kritisch door alle onkostendeclaraties van het bestuur loopt om daaruit eventuele ongewenste signalen op te pikken. Met nadrukkelijk de toevoeging dat “de wereld daarbij natuurlijk niet zwart-wit is maar 50 tinten grijs kent”.

Een ander vertelde dat het zinnig bleek te zijn om de root causes van problemen in alle rapporten van een heel jaar simpelweg op een rij te zetten, omdat daarbij al gauw een rode lijn in gedragsaspecten wordt opgepikt.

Daarmee wordt een oordeel over soft controls dan feitelijk als ‘bijvangst’ van de reguliere controle beschouwd.

Anderen benadrukten het belang van gestructureerde en periodiek terugkerende medewerkersonderzoeken die een scherp inzicht leveren in waar zwakke plekken zitten in de cultuur: “Zeker als daarin een periodieke regelmaat zit kun je problemen tijdig zien aankomen”.

Een van de aanwezigen vertelde de kernwaarden van de organisatie zo concreet mogelijk te maken en specifiek op deze thema’s te monitoren.

2

(3)

Ook werd erop gewezen dat er in de markt wel degelijk goed doordachte en wetenschappelijk onderbouwde – modellen beschikbaar zijn om gestructureerd soft controls te monitoren, bijvoorbeeld op basis van self assessments. Het is dus wel degelijk meetbaar maar de vertaalslag naar concrete controleprogramma’s voor met name operational audits is in veel organisaties nog niet doorgevoerd.

Dilemma’s in de communicatie over soft controls

Communicatie blijkt een van de belangrijkste – en lastigste – onderwerpen te zijn. Een van de deelnemers vertelde dat hij het thema soft controls nadrukkelijk een grote rol geeft binnen zijn organisatie maar vertelde ook open over de weg die er nog te gaan is. Juist daarom koos hij er (voorlopig) voor om het aspect soft controls niet onder te brengen in formele rapportages maar er vooral het gesprek over aan te gaan op basis van signalen en resultaten uit ‘regulier’ werk van Internal Audit.

“Als je vuile was hebt over wat er in het management gebeurt, waar hang je die dan op?”, zo vroeg een van de deelnemers zich hardop af. Daar kan inderdaad een levensgroot dilemma ontstaan. Want als je als internal auditor geacht wordt om ook sparringpartner te zijn voor het management, kun je dan tegelijkertijd de afstand bewaren om datzelfde management een kritische spiegel voor te houden over het gedrag in boardrooms? Het informeel dingen aan de orde stellen zonder het de status van audit rapportages te geven kan een nuttige strategie zijn, want zo blijf je weg bij ‘het spook van het rapport waarin je alleen opschrijft wat je zeker weet’; de auditor blijft in de regel immers op zoek naar een deugdelijke grondslag.

Meer in het algemeen is er ook een klassiek dilemma ten aanzien van de timing van signalen. Die is eigenlijk nooit goed, zo stelde een van de aanwezigen. “Ben je te vroeg met je signalen dat er iets niet goed gaat, dan ben je ongeloofwaardig. Wacht je te lang totdat je zekerheid hebt dan kom je vaak te laat en valt er niks meer aan te doen.” Bovendien: Wat doe je als je iets aankaart bij het bestuur en deze doet het commentaar af als niet ter zake doend? “Dan sta je weer op nul”.

De conclusie: de juiste snaar tijdig raken is niet eenvoudig waar het gaat om soft controls. Desondanks “moeten we stoerder zijn op dit thema”, zo werd opgemerkt. Met daaraan toegevoegd dat menig CEO “echt wel gewend is om onder het vergrootglas te liggen”. Iemand anders wees erop dat er eigenlijk geen alternatief is. Want je bent als internal auditor volstrekt ongeloofwaardig als je hier niet ‘stoer’ in bent: “Als een internal auditor zich zelf niet vrij voelt om zich uit te spreken, hoe geloofwaardig ben je dan in het stimuleren van de juiste tone at the top?”.

Heeft Internal Audit de benodigde expertise?

“Het is geen rocket science”, zo stelde een van de aanwezigen over soft controls. En de consequentie is dat internal auditors echt wel recht van spreken hebben om een opinie te hebben over soft controls. Maar daarin zat precies de crux, zo meende een ander: “Gebruik je het monitoren van soft controls als onderdeel van een audit? Of gaat het alleen maar om het aankaarten van dingen die je ziet? Dat laatste kunnen we zeker, dat eerste is een stuk lastiger.” Dat werd door iemand anders beaamd, want “we hebben geen goede aanpak”. Meer in algemene zin werd ook gesteld dat diversiteit in het Internal Audit-team op dit aspect zeer belangrijk is. “Ik zou graag een socioloog in het team willen. Omdat die kennis meebrengt die we nu niet hebben. En daarmee win je ook aan geloofwaardigheid als je wat over soft controls zegt.”

Oppassen bij accountantswissel

Als gevolg van een wetswijziging zullen veel bedrijven de komende jaren noodgedwongen – en soms tegen wil en dank – van externe accountant moeten wisselen in het kader van de verplichte roulatie. Dat heeft mogelijk ook effect op de rol van de Internal Audit, zo meende een van de aanwezigen. “We zijn in de loop der jaren de Financial Audit vrijwel geheel ontgroeid en dat is een goede zaak, ook al omdat we dan ruimte krijgen voor zaken als soft controls. Nu er op veel plaatsen een vers team van een accountantskantoor binnenkomt, kan dat zorgen voor druk om weer taken in de Financial Audit op ons te nemen.” Een andere deelnemer had geruststellende ervaringen. “Wij hebben te maken met een nieuwe accountant. Maar onze ervaring is dat de kantoren zo’n transitie heel professioneel aanpakken. Wij hebben als Internal Audit nul uren extra hoeven te besteden.”

Tot slot: het gaat niet om het rapport, het gaat om het gesprek

Soft controls vragen om aandacht van Internal Audit. De manier waarop dat gebeurt, is sterk afhankelijk van de organisatievolwassenheid en omvang van zowel de organisatie als de Internal Audit-afdeling. Een universele waarheid lijkt echter wel duidelijk: als de Internal Audit bijdraagt aan een cultuur waarin in elk geval open wordt gesproken over (het belang van) soft controls, dan is dat pure winst. Want het gesprek over soft controls is eigenlijk belangrijker dan een formele conclusie in een audit rapport. Een beroemde quote van Einstein drong zich in dat verband op: “Everything that can be counted does not necessarily count; everything that counts cannot necessarily be counted.”

3 01/2014 – FA1442

Referenties

Download het nu ( PDF - 3 pagina - 132.37 KB )

GERELATEERDE DOCUMENTEN

Soft controls die het verschil maken: een case study bij een financiële instelling

Bij twee van de vier onderdelen van de soft control Helderheid is een verschil aanwezig bij de dossiers die met minimaal een voldoende zijn beoordeeld en de dossiers die met

De harde noodzaak van soft-controls

Voor het bepalen van de mate waarin soft-controls aan- wezig zijn is gebruikgemaakt van de door Kaptein (2008) ontwikkelde schaal, waarbij de vragen op een zes-

Assurance over gedrag en de rol van soft controls: een lonkend perspectief

Belangrijke soft controls die vervolgens kunnen worden gemeten, zijn dan bijvoorbeeld in hoeverre het bestuur en management het belang van klanten uitdragen (ervaren medewerkers

Soft controls bij de rijksoverheid

Omdat er geen casussen zijn aangetroff en waar alleen hard controls als belangrijk worden beschouwd en wel casussen waar alleen soft controls als belangrijk worden

SOFT CONTROLS & INTERNE BEHEERSING

geïnterviewden van mening dat het testen van soft controls uitgevoerd dient te worden door een meer ervaren teamlid. Uit kwantitatief onderzoek blijkt dat 65% van de respondent van

Internal Controls for Fraud Prevention

These internal controls can be developed in accordance with the 2013 Committee of Sponsoring Organisations (COSO) Internal Control – Integrated Framework (COSO, 2013).

Soft Controls: Advieskans voor de mkb-accountant - Advies door de mkb-accountant met oog voor de kracht van de mens in organisaties en hun verbeterpotentieel

In dit rapport worden enkele voorbeelden van signalen in een mkb-onderneming gepresenteerd die aanleiding voor de mkb-accountant kunnen zijn om te adviseren om verder onderzoek

Eye-openers uit de praktijk van soft- controls audits

gedragsbeïnvloedende factoren in een organisatie die van belang zijn voor realiseren van doelen van organisatie en.. eisen en verwachtingen van