EEN BETROKKEN CONTROLLER OP AFSTAND Van scheidsrechter naar spelverdeler

(1)

(2)

EEN BETROKKEN CONTROLLER OP AFSTAND Van scheidsrechter naar spelverdeler

Master thesis, MSc Accountancy & Controlling

Rijksuniversiteit Groningen, Faculteit Economie & Bedrijfskunde

17 februari 2014

S.L.T Lentjes Studentnummer: 2384345 email: s.l.t.lentjes@student.rug.nl

Begeleider vanuit de universiteit E.P. Jansen

Begeleiders vanuit de organisatie D.W.B. Ederveen

H.J. Jansen van Doorn

(3)

Robbins (1987) drew an important distinction between authority and power. He says:

[…] we defined authority as the right to act, or command others to act, toward the attainment of organizational goals. Its unique characteristic, we said, was that this right had legitimacy based on the authority figure’s position in the organization.

Authority goes with job […]. When we

use the term power we mean an individual’s

capacity to influence decisions […] the ability

to influence based on an individual’s legitimate

position can affect decisions, but one does not

require authority to have such influence (1987: 186)

(4)

Abstract

In dit onderzoek staat de volgende onderzoeksvraag centraal: op welke wijze communiceert de controller met belangrijke stakeholders binnen het proces van projectrisicomanagement en beïnvloed die de perceptie van deze stakeholders? Om een antwoord te verkrijgen op deze on- derzoeksvraag is het onderzoek uitgevoerd aan de hand van een enkelvoudige casestudy.

Daarvoor is een theoretisch kader ontworpen dat ingaat op drie gebieden, te weten: risicoma- nagement, de controller en management control. Om het beantwoorden van de onderzoeks- vraag te vereenvoudigen zijn deelvragen opgesteld. Deze deelvragen zijn aan het eind van elk theoretisch gebied geformuleerd. Als casus is een project geselecteerd dat aangemerkt is als een groot project en zeer uniek van aard is. De dataverzameling heeft plaatsgevonden aan de hand van interviews en documenten. Het theoretisch kader dient tevens ter onderbouwing van de opgestelde vragenlijst ten behoeve van de interviews. De interviews zijn gehouden met verschillende controllers en zijn allemaal betrokken bij het project. Uit de resultaten van het onderzoek kan worden geconcludeerd dat de communicatieve vaardigheden, zowel mondeling als schriftelijk, van belang zijn voor het beïnvloeden van stakeholders. Het beïnvloeden moet gezien worden langs de lijn van overtuigen, stimuleren, motiveren en signaleren. Daarnaast zijn er de soft skills die de controllers inzetten om het effect van ‘beïnvloeden’ te versterken.

Kritisch vermogen, de juiste toon raken en inlevingsvermogen zijn onder andere van belang.

Ondanks dat de onderzochte controllers in dit onderzoek zich op een afstand bevinden van het

programma/project en dus geen onderdeel zijn van het primaire proces, blijkt dat ze zeer be-

trokken zijn bij het reilen en zeilen van het project. Gezien de wijze waarop de controller zijn

rol oppakt in het proces van projectrisicomanagement en daarbij management controls inzet

om betrokkenen te beïnvloeden, blijkt dat die zich allang niet meer bezighoud met alleen de

financiële cijfertjes te controleren. De controller heeft zich verplaatst van een scheidsrechter

naar spelverdeler. Daarbij geeft de controller een voorzet door middel van een goed geschre-

ven advies en zet daar kracht bij door middel van zijn communicatieve vaardigheden. Vervol-

gens laat de controller het over aan het team, het team heeft de beslissingsbevoegdheid over

de bevindingen; zij bepalen of ze zijn voorzet aannemen of niet.

(5)

Voorwoord

“Het leven is alleen achterwaarts te begrijpen, maar we zullen het voorwaarts moeten leven.”

Søren Kierkegaard (Deense filosoof, 1813-1855)

Wat een strijd, wat een worsteling, wat een gevecht. Ik kan het even niet anders verwoorden.

Maar ik heb gewonnen. Voor u ligt mijn onderzoek waar ik veel bloed, zweet en tranen in heb gestoken. Gedurende het traject heb ik te maken gehad met pieken en dalen. Onzekerheid wis- selde zich af met een ‘ik-kan-de-hele-wereld-aan’-houding. Toen ik mijn startnotitie inleverde kon ik alleen maar uitkijken naar dit moment en leek het een onwerkelijke situatie dat ik een echte master thesis zou gaan schrijven. Nu, bijna aan het einde van de 17

^e

van februari, kan ik met weemoed terugkijken over de afgelopen periode. Ik heb ontzettend veel geleerd en denk zelfs dat het goed is dat het door mij afgelegde traject zo had moeten zijn, want het is geen ge- makkelijk traject geweest met hier en daar wat obstakels. De opleiding MSc Accountancy &

Controlling ben ik begonnen met het idee dat ik op zoek was naar een echte uitdaging. Nou, die heb ik zeker weten gehad! Des te meer dat ik nu geniet van dit moment. Het voelt alsof ik een stukje vrijheid krijg en aan de andere kant besef ik mij dat het hoofdstuk van mijn studen- tentijd nu echt afgesloten wordt. Voor nu laat ik het hierbij en wil ik graag een aantal mensen bedanken voor hun inzet, steun, vertrouwen en inspiratie.

Allereerst wil ik Danny Ederveen bedanken. Voor het vertrouwen dat hij in mij heeft gehad en nog steeds heeft en voor de kansen die ik heb gekregen. Ik heb erg veel geleerd van zijn inzichten waardoor ik ook persoonlijk ben gegroeid de afgelopen periode.

Pieter Jansen voor de zinvolle feedback en ondersteuning waar nodig. Misschien dat ik iets meer een zetje in de rug nodig heb gehad maar Pieter heeft mij op een juiste wijze weten te stimuleren en ik weet zeker dat ik daardoor het beste in mijzelf naar boven heb gehaald.

Henk Jan Jansen van Doorn voor zijn altijd scherpe kritische feedback. Ik heb Henk Jan leren kennen als een echt goede kritische sparringpartner.

Alle medewerkers van Bureau Control & Audit van de gemeente Nijmegen wil ik bedanken voor de gezelligheid en het feit dat ik als een volwaardig medewerker ben opgenomen in de periode dat ik werkzaam ben geweest voor de gemeente Nijmegen.

Gert Stijf voor zijn inspirerende denkwijze over de controller en de wijze waarop hij het con- trollersvak uitoefent. Tevens voor het feit dat hij openstond en tijd vrij maakte om stukken van dit onderzoek te lezen en te voorzien van feedback.

Voorts wil ik Dirk Lentjes, mijn broer, bedanken voor zijn laatste hulp bij het doorlezen van mijn onderzoek. Evenals mijn moeder die mij altijd heeft ondersteund waar nodig en mijn va- der, zo trots als een pauw.

Tot slot wil ik alle respondenten bedanken. Zij hebben mij allen geïnspireerd in de wijze waarop zij tegen het controllersvak aankijken. Daardoor ben ik geïnspireerd en gemotiveerd om het pad te bewandelen tot Controller. Ik hoop dat ik mijzelf in de toekomst ook tot een Controller mag rekenen.

Rest mij u nog veel leesplezier te wensen.

Sanne Lentjes, 17 februari 2014

(6)

Lijst van afkortingen

ADR = Auditdienst Rijk

BC&A = Bureau Control & Audit

COSO ERM = COSO Enterprise Risk Management

COSO = Committee of Sponsoring Organizations of the Treadway Comission DG R&W = Directeur-generaal Ruimte & Water

DG RWS = Directeur-generaal Rijkswaterstaat

INTOSAI = International Organization of Supreme Audit Institution MAS = Management accounting systeem

MCS = Management control system MPB = Manager projectbeheersing PKB = Planologische Kern Beslissing PMT = Projectmanagementteam ROK = Realisatieovereenkomst RvdR = Ruimte voor de Rivier RvdW = Ruimte voor de Waal RWS = Rijkswaterstaat

SOK = Samenwerkingsovereenkomst

VGR = Voortgangsrapportage

(7)

Inhoudsopgave

Abstract ... 4

Voorwoord ... 5

Lijst van afkortingen ... 6

Inhoudsopgave ... 7

1. Inleiding ... 9

1.1 Achtergrond ... 9

1.2 Probleemstelling ... 11

1.2.1 Doelstelling ... 11

1.2.2 Vraagstelling ... 11

1.3 Relevantie ... 12

1.4 Onderzoeksmodel ... 13

2. Theoretisch kader ... 14

2.1 Risicomanagement ... 14

2.1.1 Risico ... 14

2.1.2 Risicomanagement ... 14

2.1.3 Proces van risicomanagement ... 15

2.1.4 Risicomanagement gericht op projecten ... 16

2.1.5 Risicomanagement binnen overheidsorganisaties ... 17

2.2 De controller ... 18

2.2.1 De controller en zijn ontwikkeling ... 18

2.2.2 De rolverdeling ... 20

2.2.3 Controller met hard en soft skills ... 22

2.3 Management control ... 23

2.3.1 De relatie tussen controller en risicomanagement... 23

2.3.2 Controls binnen het MCS ... 24

2.4 Conclusie theoretisch kader ... 27

3. Onderzoeksmethode ... 29

3.1 Onderzoeksopzet ... 29

3.2 Onderzoeksinstrument ... 29

3.3 Kwaliteitscriteria ... 30

3.4 Het project ... 30

3.4.1 Programma Ruimte voor de Rivier ... 31

3.4.2 Project Ruimte voor de Waal - Nijmegen ... 32

3.5 Selectie respondenten ... 33

4. Resultaten ... 34

4.1 Risicomanagement binnen het programma respectievelijk het project ... 34

4.1.2 Risicobeheersing door de PDR ... 34

4.1.2 Samenwerkingsverband Control ... 35

4.1.3 Auditplan gemeente Nijmegen voor project RvdW - Nijmegen ... 37

4.2 De rol van de controller in projectrisicomanagement ... 40

4.2.1 Onafhankelijk signaleren... 40

4.2.2 Kritisch ... 42

4.2.3 Brede kijk ... 42

(8)

4.2.4 Motiveren ... 43

4.3 Het gebruik van management controls ... 43

4.3.1 Culturele controls ... 44

4.3.2 Bestuurlijke controls ... 47

4.3.3 Cybernetische controls ... 47

4.3.4 Beloning & compensatie controls ... 48

4.4 Conclusie resultaten ... 49

5. Conclusie en discussie ... 52

5.1 Conclusie ... 52

5.2 Discussie ... 52

5.2.1 Theorie/resultaten deelvraag 1 ... 52

5.2.2 Theorie/resultaten deelvraag 2 ... 53

5.2.3 Theorie/resultaten deelvraag 3 ... 53

5.2 Beperkingen... 54

5.3 Vervolgonderzoek ... 54

Literatuurlijst ... 56

Bijlagen ... 60

Bijlage A: 6 bronnen voor dataverzameling ... 60

Bijlage B: Vragenlijst ten behoeve van de interviews ... 61

Bijlage C: Technieken voor validiteit & betrouwbaarheid ... 64

(9)

1. Inleiding 1.1 Achtergrond

‘Risicomanagement bij gemeenten nog lang niet op orde’ aldus de titel van een onderzoek dat door ConQuaestor is uitgevoerd onder 60 gemeenten in Nederland (ConQuaestor, 2012). Een aantal voorbeelden daarvan zijn de gemeente Bergen op Zoom die een verlies van € 45 à 50 miljoen op het project Bergse Haven had kunnen voorkomen indien er een goede risicoana- lyse was uitgevoerd (BN DeStem, 2011; ConQuaestor, 2012). Het Betuweroute project kende een budgetoverschrijding van € 2,5 miljard (van € 2,3 naar € 4,7) veroorzaakt door een ernstig mankement aan de kostenbeheersing (noodzakelijke instrumenten en het waarborgen van be- heersing ontbrak) en het onvoldoende rekening houden met risico’s en onzekerheden (Alge- mene rekenkamer, 2001). Een nog lopend projectdrama is de Noord/Zuidlijn te Amsterdam waarvoor € 1,4 miljoen was geraamd maar door tegenvallers is gestegen tot € 3,1 miljard wanneer het project in 2017 wordt afgerond (Commissie Veerman, 2009). Dat risicomanage- ment geen overbodige luxe is blijkt uit deze voorbeelden. Als gevolg van de boekhoud- en fraudeschandalen in het verleden is er nieuwe wet- en regelgeving ingesteld die zich meer richt op transparantie betreffende de activiteiten, doelstellingen en risico’s van deze organisa- ties. Ook bij overheidsorganisaties is vanuit burgers, bedrijven en andere maatschappelijke ac- toren meer belang bij een goede interne beheersing en verantwoording daarover, inzicht in de bestedingen van de gelden die aan de overheid ter beschikking zijn gesteld en welke maat- schappelijke doelen daarmee bereikt worden (INTOSAI, 2004; Paape & Swagerman, 2006;

Starreveld & Van Leeuwen, 2007). Dit betekent dat er, onder andere, verantwoording afge- legd dient te worden over de inrichting van risicomanagement in de brede zin van het woord (Claassen, 2009). Sinds de inwerkingtreding van het Besluit Begroting en Verantwoording Provincies en Gemeenten in 2004 (BBV) zijn overheidsorganisaties verplicht gesteld om in hun jaarverslag een paragraaf op te nemen die aandacht besteed aan het risicoprofiel van de organisatie en dit te plaatsen in relatie tot het weerstandsvermogen. Het weerstandsvermogen is een koppeling tussen de risico’s die worden gelopen en het aanhouden van een financiële buffer (beschikbare weerstandscapaciteit). In deze paragraaf is het opnemen van een inventa- risatie van de risico’s evenals het beleid aangaande de risico’s verplicht (Deloitte, 2009). Dit betekent ook dat overheidsorganisaties hun proces van risicomanagement steeds meer moeten professionaliseren.

In de bovenstaande voorbeelden wordt ingegaan op het falen van risicomanagement bij pro- jecten. Risicomanagement kan toegepast worden op de organisatie als geheel of als een onder- deel van projectmanagement gericht op een project. Met name projectrisicomanagement is in het voorliggend onderzoek van belang

¹

. Volgens Chapman & Ward (1997) heeft projectrisi- comanagement een positieve invloed op het resultaat van een project door enerzijds instru- mentele effecten, door de creatie van een noodplan of door beïnvloeding van de projecttijd, het budget of ontwerpplan en anderzijds door sociale effecten (De Bakker, 2011). De sociale

1 Zie daarvoor ook paragraaf 1.3 Relevantie. Desondanks is er geen verschil in het proces van risicomanagement of projectrisicomanagement. In het onderzoek worden de woorden risicomanagement en projectrisicomanagement beide gebruikt.

(10)

effecten van risicomanagement gaan over het beïnvloeden van stakeholders, lees besluitvor- mers, bestuurders en/of andere betrokkenen, en de drijfveren/motieven van deze stakeholders.

Volgens De Bakker (2011) is projectrisicomanagement een proces om de fysieke omgeving van een project te controleren en is het een proces om relaties met andere betrokkenen in het project te creëren en te beïnvloeden, om met deze betrokkenen te communiceren en om ver- wachtingen, percepties en gedrag van betrokkenen af te stemmen. Verder blijkt dat het gedrag van mensen doorslaggevend is voor projectsucces en niet het hanteren van formele modellen.

De Bakker (2011) constateert, terecht, dat sociale interacties binnen projectrisicomanagement genegeerd worden in de theorie, wat onterecht is. Het blijkt juist dat de communicatie tussen mensen tijdens het gebruik van het model (tijdens de risicoanalyse) zorgt voor een bewustzijn en dat mensen alerter zijn en gerichter gaan handelen (De Bakker, 2011). Saillant detail is zelfs dat om het risico te sturen het niet nodig is om voorafgaand het risico te meten, wat bete- kent dat een kwantitatieve risicoanalyse niet noodzakelijk is voor risicosturing. Ondanks dat deze onderzoeksresultaten betrekking hebben op IT-projecten is het een bevestiging dat soci- ale interacties belangrijker zijn dan de uitvoering van een model (in de zin van formele me- thoden en technieken). Het voorliggend onderzoek gaat daarom voornamelijk in op de com- municatie in het proces van projectrisicomanagement.

Maar hoe functioneert een controller in het proces van (project)risicomanagement? Uit onder- zoek van BDO (2011) naar de trends in Controlling komt naar voren dat risicomanagement als een grote uitdaging wordt gezien voor de hedendaagse controller. Van oudsher is risico- management een taak die bij de financiële afdeling was belegd. Het vormen van een financi- ële buffer was voldoende om risico’s te beheersen dus moest de afdeling Financiën aan de slag met het vormen van deze buffer (‘t Hart, 2008). Risicomanagement is een ander beheer- singssysteem van de organisatie gericht om op een gestructureerde en expliciete wijze risico’s in kaart te brengen, te evalueren en beter te beheersen (Rasid, Rahman & Ismail, 2011; Sch- nezler & ’t Hart, 2006). De controller kan bijdragen in dit proces door, bijvoorbeeld, het kwantificeren van doelstellingen, waarderen van de consequenties van mogelijke uitkomsten van risicovolle gebeurtenissen, analyseren van de kosten en baten van risicomanagementpro- cessen, of het vergelijken van de werkelijke prestaties naar risico’s (Rasid e.a., 2011).

Toch is er ook tegenwind voor de controller als ‘risicomanager’. Zo zou de controller teveel gericht zijn op tastbare, meetbare en testbare beheersmaatregelen (Schnezler & ’t Hart, 2006).

Het creëren van bewustwording van de risico’s zakt hiermee naar de achtergrond. Daarnaast zou de controller als risicomanager teveel gericht zijn op interne controle, ligt de aandacht op eenzijdige risico’s (vooral financieel en administratief organisatorisch van aard; de tastbare risico’s) en wordt er onvoldoende nadruk gelegd op de toegevoegde waarde van

risicomanagement (Schnezler & ’t Hart, 2006). Controllers zijn teveel bezig met juistheid en volledigheid, wat vaak leidt tot ellenlange lijsten met risico’s, en niet op het creëren van bewustwording en het gericht handelen op risico’s (Schnezler & ’t Hart, 2006). Uit deze tegenargumenten blijkt vooral dat de controller gericht is op de hard controls in het

risicomanagementproces, de instrumentele kant van risicomanagement. Risicomanagement is

niet van toegevoegde waarde wanneer het zich beperkt tot een papieren tijger en dat het alleen

gericht is om te voldoen aan wet- en regelgeving. Risicomanagement is juist van toegevoegde

waarde wanneer betrokkenen zich bewust zijn van risico’s, er consensus behaald wordt over

(11)

de belangrijkste risico’s en mensen ook bewust handelen naar die risico’s (Keizer, Halman &

Song, 2002; Schnezler & ’t Hart, 2006). Misschien is dat juist wel een rol die uitstekend weg- gelegd is voor de controller.

Maar is een controller in staat om zich te richten op het beïnvloeden van stakeholders binnen het proces van projectrisicomanagement? En hoe doet hij dit dan?

²

Een antwoord daarop kan te vinden zijn in de leer van management control systemen die gericht zijn op het beïnvloeden van het gedrag en de beslissingen van personen en/of groepen (Malmi & Brown, 2008). Risi- comanagement kan daarbij worden gezien als een onderdeel van het management control sys- teem van een organisatie (Hartmann, e.a., 2007). In die zin is risicomanagement een proces om stakeholders te beïnvloeden via management controls.

Kortom: het is opmerkelijk dat de theorie onderbelicht is over de sociale interacties die een controller heeft met stakeholders binnen het proces van projectrisicomanagement en op welke wijze hij daarbij management controls hanteert. Immers, de theorie gaat voornamelijk over de instrumentele kant van risicomanagement en de theorie omtrent de controller en de verande- ring van controllerrol. Dit onderzoek is daarmee een uitgerekende kans om een verbeterd in- zicht te geven in de rol van de controller en de sociale interacties, en de wijze waarop, van een controller binnen het proces van projectrisicomanagement. Om dit te onderzoeken is een pro- ject geselecteerd dat wordt gekenmerkt als een groot project, uniek van aard is en nog niet eerder op zo’n grote schaal is uitgevoerd; het programma Ruimte voor de Rivier.

1.2 Probleemstelling

De probleemstelling bestaat uit meerdere aspecten, te weten: een doelstelling, een vraag- stelling en de randvoorwaarden. Deze paragraaf zal deze aspecten achtereenvolgens behande- len.

1.2.1 Doelstelling

Bij het woord probleemstelling lijkt het te gaan om een negatieve of ongewenste situatie (Baarda, De Goede & Teunissen, 2009). Echter, dit onderzoek betreft geen geconstateerd pro- bleem waarvoor een oplossing gevonden moet worden. Het doel van dit onderzoek is inzicht te verkrijgen in de rol van een controller binnen het proces van projectrisicomanagement en op welke wijze hij binnen dit proces communiceert met stakeholders.

1.2.2 Vraagstelling

“Op welke wijze communiceert de controller met belangrijke stakeholders binnen het proces van projectrisicomanagement en beïnvloed die de perceptie van deze stakeholders?”

Om op deze onderzoeksvraag een antwoord te kunnen formuleren zijn deelvragen opgesteld die voortkomen uit het theoretisch kader. In het theoretisch kader, hoofdstuk 2, komen deze deelvragen aan het eind van elke paragraaf terug.

2 Gemakshalve wordt gekozen voor de mannelijke persoonsvorm. Dit neemt niet weg dat de functie ook vervuld kan worden door een vrouw.

(12)

1.3 Relevantie

Als eerste levert dit onderzoek een bijdrage doordat het ingaat op projectrisicomanagement binnen de publieke sector. Uit vooronderzoek dat is verricht aangaande de bestaande theorie over (project)risicomanagement blijkt dat deze onderzoeken verricht zijn binnen de private sector. Droogsma (2009) constateert deze bevindingen ook aan het einde van zijn onderzoek.

Reden te meer om dit onderzoek te verrichten binnen de publieke sector c.q. de overheidsor- ganisaties. Projecten die uitgevoerd worden door overheidsorganisaties zijn meestal uniek van aard en worden uitgevoerd ten aanzien van het dienen van het algemeen maatschappelijk be- lang.

Een tweede bijdrage van dit onderzoek is dat het ingaat op de zachte, gedragsmatige kant van projectrisicomanagement; de interacties die daarbinnen plaatsvinden tussen de controller en betrokkenen. Uit eerder onderzoek is op te maken dat veelal onderzocht wordt hoe invulling wordt gegeven aan de wijze waarop overheidsinstanties invulling geven aan hun systeem van risicomanagement, de instrumentele kant in de zin van formele methoden en technieken.

Voorbeelden daarvan zijn Hortensius & Mallens (2010) die onderzocht hebben of ISO31000 een goed risicomanagementsysteem is voor de provincie. Boorsma, Haisma & Moolenaar (2006) hebben onderzocht hoe invulling wordt gegeven aan de paragraaf betreffende het weerstandsvermogen in het jaarverslag van gemeenten en of dit overeenkomt met de voor- schriften uit het BBV en een scriptie van Schouten (2010) gaat in op hoe 100.000+ gemeenten risicomanagement vormgeven en uitvoeren om zo inzichtelijk te maken wat knelpunten zijn en hoe het verbeterd kan worden.

Daarnaast valt uit de voorgaande onderzoeken en het verrichte vooronderzoek op te maken dat onderzoeken in het verleden veelal ingaan op risicomanagement voor de organisatie als geheel. Risicomangement gericht op projecten verdwijnt daarmee naar de achtergrond terwijl het beheersen en beheersbaar houden van projecten steeds meer aan belang wint (Fröhlichs, 2012). Dit betekent dat dit onderzoek een derde bijdrage levert doordat het ingaat op projectri- sicomanagement en op welke wijze dit wordt vormgegeven binnen een project dat is aange- wezen als een ‘groot project

³

’ en dat wordt uitgevoerd door verschillende overheidsorganisa- ties.

Een vierde bijdrage die dit onderzoek levert is gericht op de ontwikkeling van de controller- rol. De verandering van de controller naar bedrijfspartner is een populair en veelvuldig onder- werp van onderzoek. De onderzoeken gaan daarbij in op het eventueel kunnen waarnemen van een daadwerkelijke verandering in controllerrol. Vooralsnog is deze verandering niet ze- ker waar te nemen in de praktijk. Maar uit het vooronderzoek dat is verricht betreffende de controller, blijkt dat de onderzoeken niet ingaan op de controller in het proces van projectrisi- comanagement en welke controllerrol hij daarin vervult. Wel is er een onderzoek door Haze-

3 Volgens de Procedureregeling Grote Projecten voldoet een groot project aan een aantal criteria, waaronder: 1) een niet routine-matige en in de tijd begrensde activiteit, 2) waarvoor de staat alleen of grotendeels verantwoordelijkheid draagt en 3) met substantiële financiële consequenties en/of aanmerkelijke uitvoeringsrisico's. En eventuele extra criteria als 4) de activiteit heeft belangrijke gevolgen voor de samenleving of de rijksdienst, 5) er is sprake van toepassing van nieuwe technologieën of financieringsconstructies en 6) er is sprake van een in organisatorisch opzicht complex besturings- en uitoeringsproces (www.parlement.com).

(13)

laar & Schapendonk (2013) uitgevoerd dat de rol van de projectcontroller in projecten als ob- ject van onderzoek heeft. Echter kan dit onderzoek een verbeterd inzicht leveren in de rol van de controller

⁴

in het proces van projectrisicomanagement.

Tot slot levert dit onderzoek een vijfde bijdrage in aanvulling op de tweede bijdrage. Daarin wordt gesteld dat het onderzoek een verbeterd inzicht geeft inzake de interacties tussen be- trokkenen in het proces van projectrisicomanagement. Specifiek levert dit onderzoek een bij- drage in de wijze waarop de controller communiceert met betrokkenen in dit proces. Daarbij geeft het voorliggend onderzoek een verbeterd inzicht in de toegevoegde waarde van control- lers in het proces van projectrisicomanagement.

1.4 Onderzoeksmodel

Het onderzoek bestaat uit een literatuuronderzoek aangaande de veranderende rol van de con- troller, projectrisicomanagement en management control. Aanvullend daarop zijn documenten verkregen van meewerkende organisaties en zijn interviews afgenomen met controllers om een verbeterd inzicht te krijgen in de praktische invulling van hun rol binnen het proces van projectrisicomanagement en de wijze waarop sociale interacties binnen het proces met sta- keholders plaatsvinden. Vervolgens zijn de bevindingen geanalyseerd en vertaald naar resulta- ten en conclusies.

In figuur 1 is het onderzoeksmodel weergegeven. Daarin is weergegeven hoe het onderzoek is uitgevoerd en op welke wijze de onderwerpen zijn terug te vinden in dit rapport:

Figuur 1. Onderzoeksmodel en structuur rapport

4 Dit onderzoek gaat in op de controller en laat de projectcontroller buiten beschouwing. Met de controller wordt in dit onderzoek een controller bedoeld werkzaam in de organisatie, zoals een business controller of concern controller (welke naam daar aan gegeven wordt). Dit type controller staat daarmee op een afstand van het project en maakt geen onderdeel uit van het primaire proces van het project.

(14)

2. Theoretisch kader 2.1 Risicomanagement 2.1.1 Risico

Het Van Dale woordenboek geeft de volgende definitie van risico: “ri·si·co: gevaar van schade of verlies”. Het gevaar is de mogelijkheid of een gebeurtenis zich voor gaat doen, op welk object en wat de aard en omvang van de gevolgen zijn (Deloitte, 2009). In deze definitie zijn drie elementen van belang: een risicofactor, een risico-object en de gevolgen. De Com- mittee of Sponsoring Organizations of the Treadway Comission (in het vervolg COSO, 2004) onderscheid risico’s als een gebeurtenis met een positief of negatief effect. Gebeurtenissen met een positief effect kunnen negatieve effecten compenseren of vertegenwoordigen een kans (Claassen, 2009: 44). Risico’s kunnen ingedeeld worden in vier soorten, gericht op pro- jecten (Ducatteeuw, 2006; Kaplan & Myers, 2012):

 Strategische risico’s: problemen bij sturing en controle van grote projecten

 Operationele risico’s: het geheel van risico’s dat zich tijdens de uitvoering van een project kan voordoen. Er kan verder een onderscheid gemaakt worden in externe en interne opera- tionele risico’s.

 Accidentele risico’s: de risico’s die ontstaan uit situaties van overmacht. Ze kunnen plots en onverwacht optreden met eventueel grote schade tot gevolg. Dit soort risico heeft altijd een externe oorzaak en de gevolgen ervan zijn altijd negatief. Belangrijk voor deze ri- sico’s is dat ze op tijd worden geïdentificeerd, geanalyseerd en geëvalueerd en dat de ge- volgen gemitigeerd worden.

 Financiële risico’s: betreffen risico’s ten gevolge van onzekerheden bij de opmaak van ra- ming en inflatie (periode tussen lanceren van de eerste ramingen en de uiteindelijke uit- voering). Deze risico’s worden vaak aangeduid als die risico’s die tot budgetoverschrijdin- gen leiden.

In aanvulling op de bovenstaande soorten risico’s kan er melding worden gemaakt van de zo- genaamde Black Swans. Nassim Nicholas Taleb beschrijft in zijn boek dat een Black Swan een gebeurtenis is met drie eigenschappen (Taleb, 2007): “first, it is an outlier, as it lies out- side the realm of regular expectations, because nothing in the past can convincingly point to its possibility. Second, it carries an extreme impact. Third, in spite of its outlier status, human nature makes us concoct explanations for its occurrence after the fact, making it explainable and predictable.” I stop and summarize the triplet: rarity, extreme impact, and retrospective (though not prospective) predictability.” Het betreft een uitzonderlijke gebeurtenis met een extreem gevolg dat retrospectief voorspelbaar wordt gemaakt.

2.1.2 Risicomanagement

Kortgezegd is risicomanagement het managen van risico’s (Brolsma & Kouwenhoven, 2012).

Het is een cyclisch en dynamisch proces om op een gestructureerde en expliciete wijze ri- sico’s in kaart te brengen, te evalueren en beter te beheersen (Deloitte, 2009; Schnezler & ’t Hart, 2006; Van Well-Stam, Van Lindenaar, Van Kinderen & van den Bunt, 2003).

Gezien de recente boekhoud- en fraudeschandelen en daardoor strengere wet- en regelgeving

lijkt het alsof risicomanagement een verplicht ‘iets’ is geworden terwijl het ook bijdraagt aan

het succesvol realiseren van doelstellingen vanwege:

(15)

 Inzicht in het functioneren van de organisatie en de realisatie van doelen – inzicht in de risico’s en de eventuele negatieve gevolgen kan zorgen voor een stabielere organisatie en een inzichtelijker toekomst en een beter beheerst beleid (Deloitte, 2009: 20). Daarnaast kunnen toekomstige ontwikkelingen eerder worden gesignaleerd, wordt er eerder op gere- ageerd en kunnen concurrentievoordelen worden behaald (Paape & Swagerman, 2006:

15).

 Transparantie van de risico’s – door risicomanagement ontstaat inzicht in de belangrijkste risico’s en waar de middelen (bijv. geld, tijd) het beste voor ingezet kunnen worden.

 Beheersbaarheid van de risico’s – wanneer een organisatie haar risico’s kent en deze goed beheerst kan zij negatieve gevolgen van een risico voorkomen wat een opbrengst verho- gend effect met zich meebrengt.

 Operationele verliezen en verassingen voorkomen – knelpunten en zwakke plekken in de operationele processen worden eerder gedetecteerd (Paape & Swagerman, 2006: 16). Er is sprake van minder verrassingen en ‘brandjes’ om te blussen (Brolsma & Kouwenhoven, 2012).

 Voldoen aan eisen betreffende wet- en regelgeving – de organisatie voldoet aan de gel- dende eisen inzake risicomanagement als onderdeel van de corporate governance of in het geval van overheidsorganisatie aan de government governance wet- en regelgeving.

Daarmee is risicomanagement een belangrijk middel voor een organisatie om de continuïteit te waarborgen en om de doelstellingen te behalen (COSO, 2004; Deloitte, 2009). Het kent een instrumentele kant, de technieken en methoden, en een cultuur of gedragsmatige kant. Vaak krijgt risicomanagement een negatieve lading met de gedachte dat risico’s slecht zijn en dat er geen risico’s meer getolereerd worden. Dit is onjuist want risicomanagement is ook gericht op het in kaart brengen van kansen. Succesvolle organisaties verschillen van niet-succesvolle or- ganisaties omdat zij zich beter bewust zijn van de risico’s die zij nemen en slagen er veelal in om het risico om te buigen naar een kans om op deze manier waarde te creëren (Paape &

Swagerman, 2006: 14).

2.1.3 Proces van risicomanagement

In de vorige paragrafen is een inleiding gegeven over risico’s en welke bijdrage risicomanage-

ment levert aan het bereiken van de doelstellingen. De volgende stap is daarom het proces van

risicomanagement te bekijken. Het proces van risicomanagement kent twee verschillende be-

naderingen namelijk de evaluatie benadering en de management benadering. Een evaluatie

benadering van risicomanagement is vooral een ex-post proces waarbij een project achteraf

wordt geëvalueerd/geanalyseerd en is gericht op het beantwoorden wat de oorzaken van het

falen van het project zijn. Deze informatie wordt gebruikt als input voor nieuwe vergelijkbare

projecten (De Bakker, 2011). Ook Black Swans worden op deze wijze geëvalueerd omdat

zo’n risico achteraf voorspelbaar wordt gemaakt. Daarnaast kent risicomanagement een ma-

nagement benadering. Deze benadering richt zich op de vraag welke risico’s het project kun-

nen verstoren en welke maatregelen daarvoor zijn genomen om het project in goede banen te

leiden (De Bakker, 2011). Vooral de managementbenadering van risicomanagement is rele-

(16)

vant voor dit onderzoek omdat dit in tegenstelling tot de evaluatiebenadering uit meerdere ri- sicomanagementactiviteiten bestaat

⁵

. Ondanks het feit dat in elke organisatie het proces van risicomanagement anders kan verlopen, onderkent men de volgende generieke activiteiten (Paape & Swagerman, 2006):

1. Risicoplanning – vaststellen hoe risico’s worden beschouwd en geadresseerd worden door de mensen van de organisatie. Omvat ook het risicomanagementbeleid en de risico- acceptatiegraad, integriteit, ethische normen en waarden en de omgeving waarin zij opere- ren; de interne beheersomgeving van een organisatie (Claassen, 2009: 37).

2. Risicoanalyse (identificeren, beoordelen, prioriteren risico’s) – identificeren van gebeur- tenissen (zowel risico’s als kansen) die een effect hebben op het behalen van de doelstel- lingen. Deze risico’s worden beoordeeld op waarschijnlijkheid en impact waarna de ri- sico’s geprioriteerd kunnen worden.

3. Risicoallocatie – het toewijzen van een persoon die verantwoordelijk is voor het risico (De Bakker, 2011).

4. Risicobeheersing – selecteren en implementeren van gewenste beheersmaatregelen op ge- ïdentificeerde / geprioriteerde risico’s.

5. Risicorapportage – relevante informatie wordt geïdentificeerd, verzameld en gecommu- niceerd binnen vaste vooraf bepaalde structuren (richting, tijd, format) als op ad-hoc basis op de wijze en in de vorm zoals op dat moment nodig geacht (Claassen, 2009; Paape &

Swagerman, 2006).

6. Risicomonitoring – de continuïteit bewaken van de risico’s en de achterliggende oorza- ken en het observeren van mogelijke veranderingen daarin, met inbegrip van de werking van de beheersmaatregelen (Paape & Swagerman, 2006: 24).

Brolsma & Kouwenhoven (2012) geven aan dat de belangrijkste succesfactor van risicomana- gement communicatie is; vertellen, zeggen, luisteren. In elke stap kan het nodig zijn om de resultaten door te geven aan anderen. Habermans (1984) geeft in dit verband aan dat commu- nicative action zeer goed toegepast kan worden op risico’s en het managen van risico’s. Com- municative action is volgens Habermans (1984) het proces waarbij een actor een gemeen- schappelijk inzicht in een situatie probeert te creëren door medewerking van andere actoren te zoeken. Taal, en voornamelijk de gesproken taal, is de succesfactor om begrip en consensus tussen actoren te bereiken.

2.1.4 Risicomanagement gericht op projecten

Projecten kenmerken zich doordat ze tijdelijk van aard zijn en een specifiek einddoel kennen;

na het realiseren van het eindresultaat houd het bestaansrecht van het project op. In die zin is elk project uniek van aard. Projectmatig werken valt tussen routinematig werken en improvi- serend werken (Claassen, 2009; Fröhlichs, 2012). In veel gevallen zijn projecten voorzien van een eigen projectorganisatie en governancestructuur (Claassen, 200: 284). Projecten kunnen verschillen in omvang en complexiteit. Een (grootschalig) bouwproject is een goed voorbeeld van een complex project; er is sprake van onderlinge afhankelijkheden en multidisciplinaire

5 Daarnaast is voor dit onderzoek een lopend project geselecteerd waarbij risicomanagement op een management-benadering wordt toegepast.

(17)

teams (Claassen, 2009). Door de toenemende omvang en complexiteit van projecten zijn or- ganisaties afhankelijk van het succes van projecten (Fröhlichs, 2012). Elke vorm van com- plexiteit kan leiden tot hogere kosten en een langere uitvoeringsduur, maar ook tot onvoor- spelbaarheid en dus een stijgende kans op afwijkingen (Claassen, 2009: 288). Projectcontrol, het beheersen en beheersbaar houden van projecten, is dan ook van belangrijke aard. Beheers- aspecten binnen projectcontrol kunnen worden bezien langs de lijn van scope of works, infor- matie, kwaliteit, tijd, capaciteit, sociale dynamiek, organisatie, stakeholders, risico en geld.

Risicomanagement is een onderdeel van projectcontrol gericht op het beheersen van de hier- voor genoemde beheersaspecten; elk risico is een gebeurtenis die een effect kan hebben op een beheersaspect. (Van Well-Stam e.a., 2003).

Uit onderzoek van Aritua, Smith & Bower (2011), uitgevoerd in het Verenigd Koninkrijk in de publieke sector, blijkt welke risico’s het meest van invloed zijn op projecten. Daarbij wor- den genoemd: het politiek risico (veranderingen in de politiek leiden tot een andere uitkomst van het project), het stakeholder verwachtingsrisico, het aanbestedingsrisico, het strategisch risico, het kasstroom- en financieringsrisico, het reputatierisico, fraude (onderdeel van het aanbestedingsrisico) en inherente risico’s verbonden aan projectomgevingen (bijv. het gebrek aan deskundigheid). Met name zijn het politiek risico, stakeholderverwachtingsrisico en het reputatierisico risico’s die kenmerkend zijn voor organisaties binnen de publieke sector. In de volgende paragraaf komen deze risico’s terug als verschillen tussen de publieke en private sector.

2.1.5 Risicomanagement binnen overheidsorganisaties

Het voorliggend onderzoek richt zich op de publieke sector, c.q. de overheidsorganisaties.

Omdat er een aantal grote verschillen tussen publieke en private organisaties zijn, wordt er kort stilgestaan bij deze verschillen en waarom risicomanagement binnen een overheidsorga- nisatie anders is.

Een overheidsorganisatie kent geen keuzerecht met betrekking tot goederen en diensten en per

slot van rekening moeten deze goederen en diensten voor iedereen beschikbaar zijn. Voorts is

een overheidsorganisatie gericht op het behartigen van het algemeen maatschappelijk belang

en is zij in eigendom van de overheid die dus ook zeggenschap heeft over de overheidsorgani-

satie. Risicomanagement binnen de publieke sector (c.q. overheidsorganisaties) is daarom van

een andere aard dan risicomanagement binnen de private sector. De International Organi-

zation of Supreme Audit Institutions (hierna: INTOSAI) heeft daarom een raamwerk voor ri-

sicomanagement opgesteld als een afgeleide van het destijds gepubliceerde COSO Enterprise

risk management (ERM) raamwerk in 2004. Ondanks dat het COSO ERM raamwerk univer-

seel toepasbaar is in elk type onderneming, was er behoefte aan een raamwerk toegesneden

voor de publieke sector. Het resultaat daarvan is de ‘Guidelines for Internal Control Standards

for the Public Sector’. Een belangrijk verschil met dit raamwerk in vergelijking met het

COSO ERM raamwerk is een toevoeging aan de ondernemingsdoelstellingen; ethiek. Sinds

de jaren 90 heeft ethisch gedrag en het voorkomen en ontdekken van fraude en corruptie aan

belang gewonnen in de publieke sector. Over het algemeen wordt aangenomen dat ambtena-

ren het algemeen belang met eerlijkheid dienen en dat zij zorg dragen voor een goed beheer

(18)

van de begroting / budgetten

⁶

. Burgers moeten onpartijdig worden behandeld op basis van rechtmatigheid en rechtvaardigheid. Gezien het feit dat de middelen waarover een overheids- organisatie beschikt veelal bestaan uit gemeenschapsgeld, willen burgers en andere betrokke- nen inzicht krijgen in hoe die middelen besteed worden en of de maatschappelijke doelstellin- gen behaald worden (INTOSAI, 2006; Starreveld & Van Leeuwen, 2007). Publieke ethiek is daarom een voorwaarde voor, en ondersteund, vertrouwen van het publiek (lees: burgers en andere betrokkenen) en is een hoeksteen van goed bestuur (INTOSAI, 2006).

Daarnaast kan een kenmerkend verschil tussen risicomanagement worden gezien langs de lijn van beheersmaatregelen. In de literatuur zijn vier verschillende beheerstrategieën te onder- scheiden, namelijk: beheersen, verzekeren, accepteren en vermijden. Met name deze laatste categorie is niet van toepassing op een overheidsorganisatie, zij kan zich namelijk niet terug- trekken uit de markt of besluiten tot het niet leveren van bepaalde diensten.

Risicomanagement binnen overheidsorganisatie moet daarom worden gezien in het specifieke karakter van deze organisaties, dat wil zeggen (INTOSAI, 2006: 5):

 Het behalen van politieke en maatschappelijke doelstellingen;

 Het gebruik van publieke middelen;

 Het belang van de begrotingscyclus;

 De complexiteit van hun optreden (dat vraagt om een balans tussen traditionele waarden zoals rechtmatigheid, integriteit en transparantie en moderne, bestuurlijke waarden als doeltreffend en doelmatig);

 En de grote reikwijdte van hun publieke verantwoordingsplicht; het geven van reken- schap.

Op basis van de voorgaande theorie aangaande projectrisicomanagement is de volgende deel- vraag geformuleerd:

Deelvraag 1. Op welke wijze wordt vormgegeven aan risicomanagement binnen het pro- gramma RvdR respectievelijk het project RvdW – Nijmegen?

2.2 De controller

2.2.1 De controller en zijn ontwikkeling

Bean counter, scorekeeper, policeman, watchmen… Het zijn vele namen waar de controller destijds en tegenwoordig mee geassocieerd wordt. Dit is ook niet verwonderlijk gezien het feit dat de controller een overzichthoudende, controlerende rol had en zich voorheen vooral richtte op het zorgen voor accurate en betrouwbare financiële verslaglegging en rapportage en het leveren van hoogwaardige informatie ten behoeve van leidinggevenden / besluitvormers.

De traditionele controller had vooral een retrospectieve blik. Uit de definitie van Verstegen &

De Loo (2008) wordt duidelijk dat de controller niet alleen van ondersteunende aard is, maar ook van adviserende aard. Zij definiëren dat de controller (Verstegen e.a., 2008: 5): “… het management adviseert en ondersteunt in haar pogingen om de economische, financiële en/of

6 Het budgetmechanisme is leidend voor een overheidsorganisatie.

(19)

publieke doelen van de organisatie te bereiken. Het ondersteunen vindt plaats door het inrich- ten en onderhouden van management control- en informatiesystemen en door het verwerken van informatie”.

In 1983 stelt Sathe (1982) dat alleen het opleveren van hoogwaardige informatie geen garantie geeft dat de leidinggevende / besluitvormer betere beslissingen maakt. De besluitvormer bezit mogelijk niet alle kennis om deze hoogwaardige informatie volledig te doorgronden. Om dit probleem op te lossen is een actieve rol van de controller in het besluitvormingsproces nodig (Sathe, 1982). Dit betekent dat de controller gevraagd wordt om te adviseren en daarmee komt de adviserende rol van de controller in beeld. Mede door technologische ontwikkelin- gen, de automatisering van veel bedrijfsprocessen en administraties, de boekhoudschandalen en strengere en complexe regelgeving (Roth, 1998; Van de Ven, 2011) wordt de verandering en de behoefte naar verandering van de traditionele controller naar bedrijfspartner zichtbaar- der. Van de controller wordt verwacht dat hij meer waardetoevoegende activiteiten gaat ver- richten en dat standaardactiviteiten (dat wil zeggen accounting-activiteiten of van origine boekhoudkundige taken) worden gereduceerd. Maar de rolverandering van de controller gaat minder snel en minder extreem in de richting van waardecreatie dan uit praktijkonderzoek ge- baseerd op de verwachtingen en wensen van controllers en adviesrapporten, blijkt (Cooper &

Dart, 2009; Riedijk, Tillema & Coen, 2002; Van de Ven, 2011: 27).

De theorie daarentegen bevestigt deze verandering wél. In 1998 kwamen Granlund & Lukka (1998) toen al, voor de boekhoudschandalen, met een onderzoek uitgevoerd in Finland tot de conclusie dat de functie van de controller zich zou gaan ontwikkelen tot een bedrijfsgerichte functie. Met andere woorden, naast het leveren van financiële rapportages en analyses is de controller een functionaris die kennis heeft van de omgeving waarin de organisatie opereert, beschikt hij over goede communicatieve vaardigheden en heeft hij kennis van projectmanage- ment. Järvenpää (2001) doopt de nieuwe controller om tot de ‘hybride accountant’ die zich kenmerkt door analytisch vaardig, boekhoudkundig bekwaam en onafhankelijk waarbij com- municatieve vaardigheden, samenwerking en interpersoonlijke vaardigheden, brede bedrijfs- kundige managementvaardigheden en het vermogen om grote organisaties te begrijpen aan belang winnen. In voorgaande onderzoeken naar de nieuwe of moderne controllerrol zijn een aantal kenmerken of elementen te herleiden. De moderne controller (Cooper & Dart, 2009: 2):

 Legt minder nadruk op technische kennis en traditionele vaardigheden (dit is tevens nog wel van belang in de nieuwe rol). Aanvullende kennis en vaardigheden zijn vereist op het gebied van niet-financiële informatie.

 Is nauw betrokken in beslissingsondersteunende en adviserende taken door de gehele or- ganisatie op strategische en operationele zaken en het toepassen van specialistische techni- sche kennis naar de brede context van het bedrijf waarbij de nadruk ligt op een meer toe- komstgerichte oriëntatie.

 Management (in de brede zin van mensen, veranderingen, risico’s etc.) en leiderschap zijn van groter belang in de activiteiten van de controller.

Zoals gezegd gelden deze veranderingen in de praktijk in mindere mate dan de literatuur sug-

gereert. De ontwikkelingen in de literatuur gaan vooral over de visie over het gewenste of ver-

wachte resultaat van de rol en functie van de controller (Riedijk e.a., 2002; Van de Ven,

2011). Kaplan, een bekende management accounting goeroe, gaf in 1995 zijn visie op de toe-

(20)

komst van de functie van de controller: “[…] hebben zij geen extra training en opleiding no- dig op het gebied van (financial) accounting, accountancy of belastingen. Zij hebben wel be- hoefte aan een brede kennis en ervaring met betrekking tot de product- en procestechnolo- gieën, bedrijfsactiviteiten, systemen, marketing, strategieën, gedragswetenschappelijk en or- ganisatorische aspecten van hun bedrijf…(Kaplan, 1995: 23).” Desondanks is er ook kritiek op deze rolverandering. Traas (1997) vraagt zich af of de verbreding van de controlfunctie wel echt wenselijk is. Er zou een te sterk accent op deze verbreding worden gelegd met als gevaar een tekortkoming op het gebied waarin de controller uitblinkt, namelijk financieel ad- ministratief management (Traas, 1997: 43).

2.2.2 De rolverdeling

De bovenstaande geschetste ontwikkeling betreft de verandering van traditionele controller naar moderne controller; van boekhouder tot bedrijfspartner. De verantwoordelijkheden, ta- ken, organisatorische positie en de kwaliteiten die controllers dienen te bezitten om hun werk naar behoren te kunnen verrichten zijn uitvoerig onderzocht (Verstegen & de Loo, 2008: 541).

Op basis daarvan kan een onderscheid gemaakt worden tussen twee rollen (Lambert & Spo- nem, 2012; Sathe, 1982):

- De onafhankelijke rol of de boekhouders rol en

- de betrokken rol / besluitvormingsfaciliterende rol of bedrijfspartner.

De onafhankelijke rol van de controller is gelegen in het zorgen voor accurate en betrouwbare financiële informatie en dat de interne controle volgens de geldende wet- en regelgeving wordt uitgevoerd. Verder ligt de nadruk bij dit type controller op het verleden en wordt er niet verwacht dat hij kennis heeft van de organisatie. De betrokken rol (bedrijfspartner) daarente- gen is gericht op het heden en de toekomst waarbij tevens verwacht wordt dat hij kennis heeft van de organisatie. Daarnaast fungeert hij als een betrouwbare en kritische sparringpartner zo- dat hij met aanbevelingen of advies de handelswijzen, plannen en acties van de besluitvormer kan aanmoedigen of stimuleren (Sathe, 1982).

Uit al het onderzoek blijkt dat er variatie is in de benaming van de rol van de controller (Ten Rouwelaar, 2007; Verstegen & De Loo, 2008). Zo vertoont de ‘independent’ rol van Sathe (1982) overeenkomsten met de ‘watchmen’ rol van Verstegen e.a. (2007) en is de ‘financieel adviseur’ van Riedijk e.a. (2002) te vergelijken met de strong controller van Sathe (1982).

Bij het beschrijven van deze verschillende controllersrollen wordt uitgegaan van de theorie van Sathe (1982). Sathe heeft een eerste aanzet tot het onderscheiden van verschillende con- trollerrollen gegeven waarbij hij vooral pleit voor het ontwikkelen van strong controllers en hoe deze te ontwikkelen. Aangezien deze theorie hedendaags nog steeds relevant is, is geko- zen deze nader uit te werken voor de rolclassificatie (Ten Rouwelaar, 2007).

Volgens Sathe (1982) zijn er vier verschillende ideaaltypen controllers te classificeren. Welke

rol de controller vervult heeft te maken met zijn mate van betrokkenheid richting het manage-

ment team en zijn onafhankelijkheid. Sathe (1982) maakt onderscheid in de involved control-

ler, de independent controller, de split controller en de strong controller. In figuur 2 op de vol-

gende pagina zijn deze vier verschillende rollen weergegeven.

(21)

Hoge mate van betrokkenheid Lage mate van betrokkenheid

Hoge mate van onafhankelijkheid Strong controller Independent controller

Lage mate van onafhankelijkheid Involved controller (Split controller)

Figuur 2. 4 controllerrollen

De involved controller (betrokken controller): zoals de naam al doet vermoeden heeft de be- trokken controller een hoge mate van betrokkenheid richting het management. Dit betekent ook dat hij meteen een lage mate van onafhankelijkheid heeft vanwege zijn adviserende rol.

De betrokken controller is degene die het management team helpt door het opleveren van hoogwaardige informatie en analyses en meedenkt in het besluitvormingsproces.

De independent controller (onafhankelijke controller): de onafhankelijke controller heeft een lage mate van betrokkenheid en een hoge mate van onafhankelijkheid. Objectiviteit en onafhankelijkheid naar het management toe staat voorop. Dit type controller richt zich voor- namelijk op de betrouwbaarheid van de financiële informatie en de integriteit van de interne controle. De onafhankelijke controller kan door zijn lage mate van betrokkenheid soms gezien worden als een buitenstaander waardoor hij minder toegang krijgt tot vertrouwelijke informa- tie en daardoor niet tijdig kan ingrijpen op risicovolle situaties. Wat rest is reactieve control nadat besluiten zijn genomen.

De split controller (verdeelde controller): dit type controller scoort op zowel de mate van on- afhankelijkheid en de mate van betrokkenheid laag. Om dit probleem op te vangen kan de rol van deze controller in de organisatie opgesplitst worden zodat er twee controllers zijn met maar één verantwoordelijkheid. De voor- en nadelen zijn in dat geval hetzelfde als bij een be- trokken of onafhankelijke controller.

De strong controller (krachtige controller): dit type controller heeft een hoge mate van be- trokkenheid en een hoge mate van onafhankelijkheid. De strong controller is de betrokken en onafhankelijkheid controller in één. Dit betekent dat hij actief betrokken is in het besluitvor- mingsproces én zijn objectiviteit en onafhankelijkheid behoud. Daarnaast heeft de strong con- troller vaak toegang tot vertrouwelijke informatie, vanwege zijn actieve rol in het besluitvor- mingsproces, waardoor hij eerder kan ingrijpen in risicovolle situaties: ook wel anticiperende control. De strong controller is de enigste die kan ingrijpen voordat besluiten zijn genomen.

Maar is het mogelijk om twee verantwoordelijkheden bij één persoon neer te leggen? Van-

wege een toename van de complexiteit en omvang van organisaties leunt het management

meer en meer op specialistische adviezen en expertise. Een adviserende betrokken rol van de

controller is gewenst zodat er betere beslissingen gemaakt kunnen worden. Maar een actieve

betrokken rol van de controller heeft consequenties voor zijn onafhankelijkheid. Vanwege de

complexe en striktere regelgeving is onafhankelijkheid van degene die de informatie op be-

trouwbaarheid controleert vereist. Een betrokken controller zou in dat opzicht als minder on-

afhankelijk kunnen worden bestempeld, dit vanwege nauwe banden met het management

(Ten Rouwelaar, 2007).

(22)

2.2.3 Controller met hard en soft skills

De moderne controllerrol, die van bedrijfspartner, vergt veel meer van controllers dan de tra- ditionele rol vroeg. In de traditionele rol volstond de controller met vakinhoudelijke vaardig- heden en kennis, de zogenaamde hard skills. In het geval van de controller hebben hard skills betrekking op kennis op het gebied van bijvoorbeeld management accounting / management control, financial accounting en rapportage / financiële analyses en risicomanagement (Paffen

& Roemen, 2011). In tegenstelling tot de traditionele controller volstaat de hedendaagse con- troller niet met hard skills alleen. Wil de controller als een bedrijfspartner fungeren dan dient hij naast de hard skills ook over goed ontwikkelde soft skills te beschikken (Granlund &

Lukka, 1998; Järvenpää, 2001). Deze soft skills zijn gerelateerd aan het Emotional Intelli- gence Quotient (EQ) en zijn karaktereigenschappen, houding en opvattingen en het gedrag van een persoon (Robles, 2012). Soft skills omvatten het verstrekken van duidelijke commu- nicatie en zinvolle feedback, het oplossen en / of het beheren van conflicten, het begrijpen van menselijk gedrag in groepen, het begeleiden van ondergeschikten, het ontwikkelen van sa- menhangende topmanagement teams waarvan is aangetoond dat ze een betere bedrijfspresta- tie opleveren en het faciliteren van de uitwisseling van informatie en kennis (Jain & Syed An- juman, 2013: 33-34). Hieruit kan worden afgeleid dat soft skills bestaan uit interpersoonlijke, intellectuele en communicatieve aspecten.

 Interpersoonlijk: diplomatiek, leiderschap, ethiek (filosofisch en gedragsmatig), team- work, samenwerking en begrip van verschillende culturen;

 Intellectueel: probleemoplossing, besluitvorming, kritisch en analytisch denken;

 Communicatie: schrijven, spreken, luisteren, lezen (alfabetisering), en interculturele communicatie.

Hard skills zijn makkelijker te identificeren en te beïnvloeden en zijn meer tastbaar tegenover soft skills, deze zijn moeilijk te identificeren en het resultaat is ook moeilijk te meten (Jain &

Syed Anjuman, 2013). Soft skills hebben meer te maken met wie we zijn dan wat we weten (het weten zijn de hard skills). Omdat soft skills een deel van iemands persoonlijkheid bestrij- ken zijn deze vaardigheden veel moeilijker om te verkrijgen en te veranderen (Robles, 2012).

Doordat organisaties steeds complexer worden en er flexibeler geopereerd dient te worden is een proactieve houding vanuit de controller gewenst. Het is daarbij meer en meer belangrijk dat controllers betrokkenen in de organisatie meekrijgt, draagvlak creëert en mensen aan het denken zet. Alleen vakinhoudelijke kennis is dan ontoereikend. Sterker nog, het kan eerder leiden tot onbegrip of tot niet gehoord worden. De manier waarop een boodschap wordt ver- pakt en overgebracht bepaalt uiteindelijk of deze gehoord wordt en dus de aandacht krijgt die het verdient

⁷

. Dit betekent dat de controller zijn vakkennis (hard skills) moet kunnen commu- niceren. Hard en soft skills moeten elkaar aanvullen (Robles, 2012). Wil een controller zich ontwikkelen tot een bedrijfspartner (en in de ogen van Sathe een strong controller) dan dient hij in het bezit te zijn van goed ontwikkelde hard skills en soft skills (Paffen & Roemen, 2011). Ook uit onderzoek van Quinn & Rochford (2013) blijkt dat de controller zich als be- drijfspartner kenmerkt doordat hij in het bezit is van goed ontwikkelde soft skills. Tevens ge-

7 Lambrichts in: Paffen & Roemen, 2001: 14.

(23)

ven zij aan dat de controller als bedrijfspartner risicomanagement tot één van z’n verantwoor- delijkheden rekent. In de volgende paragraaf wordt verder ingegaan op de relatie tussen de controller en risicomanagement.

Naar aanleiding van de beschreven theorie aangaande de ontwikkelingen van de rol van de controller en risicomanagement volgt hieruit de volgende tweede deelvraag:

Deelvraag 2. Wat is de rol van de controller in projectrisicomanagement?

2.3 Management control

2.3.1 De relatie tussen controller en risicomanagement

Waarom wordt een controller gezien als een functionaris waarbij risicomanagement tot één van z’n verantwoordlijkheden hoort? Om op die vraag een antwoord te kunnen geven wordt ingegaan op management accounting- en control en risicomanagement en wat de relatie daar- tussen is.

Management accounting, het vakgebied van de management accountant alias controller, wordt gedefinieerd als het proces van identificeren, meten, accumuleren, analyseren, voorbe- reiden, interpreteren en communiceren van informatie die bij de planning, beheersing en ef- fectieve inzet van middelen door het management wordt gebruikt (IFAC, 1998). Het verschaft informatie dat noodzakelijk is voor (IFAC, 1998):

 het beheersen van de huidige activiteiten van een organisatie;

 plannen van toekomstige strategieën, tactieken en acties;

 optimaliseren van het gebruik van middelen;

 meten en evalueren van performance;

 subjectiviteit verminderen in het besluitvormingsproces;

 verbeteren van de interne en externe communicatie.

Management accounting is een hulpmiddel voor het bereiken van de organisatiedoelstellingen omdat het voorziet in een meting van prestaties, waarschuwt voor risico’s, informatie geeft voor de besluitvorming en gegevens voor de planning (Cole, 1988). Risicomanagement is een ander beheersingssysteem van de organisatie gericht om op een gestructureerde en expliciete wijze risico’s in kaart te brengen, te evalueren en beter te beheersen (Rasid e.a., 2011; Sch- nezler & ’t Hart, 2006). Management accounting levert op haar manier een bijdrage aan risi- comanagement door het verstrekken van informatie (Rasid e.a., 2011). Daarnaast kan ma- nagement accounting risicomanagement helpen door middel van het kwantificeren van doel- stellingen, waarderen van de consequenties van mogelijke uitkomsten van risicovolle gebeur- tenissen, analyseren van de kosten en baten van risicomanagementprocessen, of vergelijking van de werkelijke prestaties naar risico’s (Rasid e.a., 2011). Omdat controllers expertise heb- ben in het identificeren, analyseren en communiceren van management informatie zouden ze beter in staat zijn tot het interpreteren en communiceren van risicomanagement informatie.

Risico gebaseerde management accounting kan worden uitgevoerd door geanalyseerde ri-

sico’s te vergelijken met de doelstellingen, standaarden, voorspellingen, budget en werkelijke

performance. Volgens onderzoek van Rasid e.a. (2011) lijkt het erop dat management accoun-

ting risicomanagement op drie manieren ondersteund:

(24)

 Het kan helpen technieken te ontwikkelen voor het communiceren en verankeren van risi- comanagement door de gehele organisatie.

 Door het identificeren van relevante informatie en vraagstukken die de aandacht van het management vragen kan management accounting zorgen voor kanalen binnen de organi- satie zodat een koppeling van strategie, risicomanagement, prestatiemeting en verantwoor- ding kan plaatsvinden.

 Management accounting en risicomanagement functionarissen houden zich bezig met kos- ten en dit genereert kansen voor het gebruik van management accounting technieken in risicomanagement.

Concluderend kan worden vastgesteld dat management accounting en risicomanagement met elkaar verbonden zijn omdat beide bedoeld zijn ter ondersteuning van de besluitvorming. Ech- ter is een management accounting systeem (MAS) niet gericht op het beïnvloeden van het ge- drag en de beslissingen van personen en / of groepen. Men spreekt dan over een besluitvor- mingssysteem of informatiesysteem. Indien dit mechanisme wél bestaat dan wordt gesproken over een control systeem (Malmi & Brown, 2008). Alle systemen, regels, werkwijzen, waar- den en andere activiteiten die het management opzet en hanteert om rechtstreeks het gedrag van medewerkers te beheersen in overeenstemming met de strategie en doelstellingen van de organisatie, zijn te kenmerken als management controls. Wanneer deze controls een compleet systeem vormen, in tegenstelling tot een simpele regel, dan wordt gesproken over een ma- nagement control systeem (MCS)(Malmi & Brown, 2008: 290). Risicomanagement kan daar- entegen als een control systeem worden gezien en wel als een onderdeel van management control (Hartmann e.a., 2007). Zoals reeds in de aanleiding is beschreven is risicomanagement een proces om de fysieke omgeving van een project te controleren en is het een proces om re- laties met andere betrokkenen in het project te creëren en te beïnvloeden, om met deze betrok- kenen te communiceren en om verwachtingen, percepties en gedrag van betrokkenen af te stemmen (De Bakker, 2011).

2.3.2 Controls binnen het MCS

Nadat er een relatie is gelegd tussen een controller en risicomanagement en daarbij manage- ment accounting en control is aangekaart, wordt er nu dieper in gegaan op een MCS. Malmi

& Brown (2008) onderscheiden in hun onderzoek een vijftal verschillende controls die geba-

seerd zijn op de aanzienlijke reeds bestaande literatuur over management control, zie daar-

voor figuur. Achtereenvolgens zal nu worden ingegaan op de controls; planning, cyberneti-

sche, beloning & compensatie, bestuurlijke en culturele controls. In figuur 3 op de volgende

pagina is een overzicht opgenomen van deze controls.

(25)

Lange termijn plannin g

Budgetten Financiële meetsystemen

Niet-financiële meetsystemen

Organisatiestructuur Beleid en procedures Governance structuur

Planning

Hybride meetsystemen Cybernetische controls

Culturele controls

Waarden Symbolen

Clans

Bestuurlijke controls

Beloning en compensatie Actie-

planning

Figuur 3. Management control systems package: uitManagement control systems as a package – Opportunities, challanges and research directions door Malmi, T., & Brown, D. A. 2008. Management Accounting Research, 19: 287-300.

Culturele controls

Cultuur is te omschrijven als: ‘de gedeelde waarden, overtuigingen en sociale normen van de leden die op haar beurt de gedachten en acties van die leden beïnvloeden’ (Flamholtz, Das &

Tsui, 1985: 158). Culturele controls zijn verder in te delen in:

 Clan control; omvatten het vaststellen van normen en waarden binnen de clans (lees:

kleine groepen binnen het grotere geheel).

 Value controls zijn gericht om via geloof of overtuigingssystemen de normen en waarden van de organisatie te communiceren en te verankeren. Voorbeelden zijn het uitdragen van de missie, visie en andere organisatiedoelstellingen.

 Symbolen gebaseerde controls; omvatten zichtbare expressies, zoals een kledingvoor- schrift, om op deze manier een bepaalde cultuur te ontwikkelen.

Malmi & Brown (2008) plaatsen de culturele controls bovenaan hun raamwerk omdat deze controls een contextueel kader bieden voor de andere controls. De onderliggende controls worden gezien als hard controls en zijn te definiëren als meetbare afspraken en richtlijnen waarvan objectief kan worden vastgesteld of deze nageleefd zijn (Deloitte, 2009). De cultu- rele controls vallen binnen het kader van de soft controls waarbij Roth (1998) deze controls omschrijft als: “People’s integrity and ethical values; organizational commitment to compe- tence; management’s philosophy and operating style; management’s understanding and ma- nagement of risk; and communication.”

Cybernetische controls

Een cybernetisch systeem is een besluitvorming ondersteunend systeem wanneer een manager ongewenste afwijkingen detecteert en zijn eigen onderliggende gedrag en activiteiten aanpast zonder tussenkomst van iemand anders. Echter, indien gedrag aan targets wordt gekoppeld en mensen verantwoordelijk worden gesteld voor afwijkingen in prestaties, veranderd een cyber- netische systeem in een MCS. Cybernetische controls bestaan uit vier componenten:

 Budgetten; zijn belangrijke control mechanisme omdat zij de focus leggen op het vaststel-

len van een norm waarbij ex post een evaluatie plaatsvind van de prestaties met de vooraf

vastgestelde norm.

(26)

 Financiële meetsystemen; werknemers verantwoordelijk stellen voor specifieke financiële maatstaven. Voorbeelden zijn rentabiliteit- of solvabiliteitkengetallen of Return On In- vestment.

 Niet-financiële maatstaven; deze maatstaven vullen tekortkomingen op van financiële maatstaven en achterhalen de drijvers van de prestaties. Een voorbeeld is medewerkerste- vredenheid.

 Hybride vormen; één systeem waarin financiële als niet-financiële maatstaven in zijn op- genomen. Voorbeelden zijn de Balanced Score Card en Management by Objectives.

Bestuurlijke controls

Bestuurlijke controls geven richting aan het gedrag van individuen door het organiseren van individuen en groepen, het monitoren van gedrag, welke medewerker verantwoordelijk is voor dit gedrag en het proces van specificeren van taken of gedragingen die wel of niet zijn gewenst (Malmi & Brown, 2008: 293). De bestuurlijke controls zijn onder te verdelen in drie componenten:

 Organisatiestructuur; omvat de structuur. Dit bepaalt veelal hoe het contact is tussen me- dewerkers. Ondanks dat het lijkt alsof dit een vaste variabele is, geven Malmi & Brown (2008) aan dat dit een control is vanwege de mogelijkheid voor managers om dit te veran- deren.

 Governance structuur; heeft betrekking op de structuur en samenstelling van het bestuur van de organisatie, evenals de diverse management- en projectteams. De governance bevat de formele lijnen met betrekking tot autoriteit en verantwoordelijkheid.

 Beleid & procedures; deze laatste vorm betreft het specificeren van processen en gedrag binnen een organisatie.

Beloning & compensatie controls

Dit soort controls legt de nadruk op het motiveren en verhogen van de prestaties van indivi- duen en groepen zodat dit in overeenstemming is met de eigen doelstellingen en die van de organisatie. Naast waardering en beloning is er ook het aanspreken of in het uiterste geval straffen van medewerkers wanneer ze ongewenst gedrag vertonen of ongewenste werkzaam- heden uitvoeren.

Planning

Planning is een ex ante vorm van control met een uiteenzetting van de doelstellingen en acties van de functionele gebieden gericht op het sturen van inspanning en gedrag. Daarnaast wordt een norm vastgesteld in relatie tot het doel zodat duidelijk wordt welk niveau van inspanning en gedrag wordt verwacht. Een planning hoeft niet per definitie gelinkt te zijn aan financiële of accounting aspecten, denk aan een strategische of operationele planning. Het is van belang om te weten voor welk doel de planning dient; is dit alleen om te beslissen over toekomstige activiteiten of om betrokkenheid van de medewerkers te krijgen door het onderliggende pro- ces dat aan de planning ten grondslag ligt. In het laatste geval is er sprake van een MCS. Plan- ning bestaat uit twee componenten namelijk:

 Een lange termijnplanning en

 een actieplanning.