Soft controls ‘revisited’

0

Soft controls ‘revisited’

Een nieuwe kijk naar assurance over gedragsmatige aspecten van interne

beheersing.

Theo van den Berg

Masterscriptie Accountancy

1

Soft controls ‘revisited’

Een nieuwe kijk naar assurance over gedragsmatige aspecten van interne

beheersing.

Auteur: H.T. (Theo) van den Berg

Studentnummer: S2030888

Telefoonnummer: 06-14799888

E-mailadres: h.t.van.den.berg@student.rug.nl

Adres: Van Barbansonstraat 20, 2274 SN, Voorburg

Onderwijsinstelling: Rijksuniversiteit Groningen

Faculteit: Faculty of Economics and Business

Studie: Master Accountancy & Controlling

1e begeleider: Dr. O.P.G. (Olof) Bik

2e begeleider: W.G. (Wilmar) de Munnik

Plaats: Groningen

2

Samenvatting

Deze scriptie is gericht op het verkrijgen van inzicht in de theorie op het terrein van

gedragsmatige aspecten van interne beheersing. De probleemstelling van dit onderzoek, die op basis van een theoretische verkenning wordt beantwoord, luidt:

In hoe verre en op welke wijze kan assurance verkregen worden over de gedragsmatige aspecten van interne beheersing?

Om antwoord te geven op de probleemstelling, is ten eerste verschillende theorie op het gebied van gedragsmatige aspecten van interne beheersing bestudeerd. Binnen dit

onderwerp bestaat veel begripsverwarring. Gedragsmatige aspecten van interne beheersing worden ook in de wetenschappelijke literatuur op verschillende manieren omschreven. Hierbij worden veel definities gebruikt, waarvan de meest ingeburgerde ‘soft controls’ is. ‘Soft’ kan echter zorgen voor verwarring doordat dit geïnterpreteerd wordt als iets wat er niet toe doet, of iets wat niet te beheersen valt. Bovendien worden ‘hard’ controls ook gebruikt om het gedrag te beheersen. Daarom is op basis van vijf fundamentele

onderzoeken een nieuwe, voor dit onderzoek werkbare definitie gevormd: ‘Behaviour control’.

Behaviour control kan omschreven worden als het kader waarbinnen gedragingen, structuren en besluiten in de samenhang zorgen voor het voor de organisatie gewenste gedrag, waardoor met een grotere mate van zekerheid de ondernemingsdoelen gehaald worden.

Informatieverstrekking en het afleggen van verantwoording zijn onlosmakelijk verbonden met de beheersing van de organisatie. Financiële informatie geeft maar een deel van het verhaal. Door recente gebeurtenissen als de kredietcrisis, verschillende fraudeschandalen en maatschappelijke thema’s zoals de duurzaamheid, is de vraag naar betrouwbare

niet-financiële informatie toegenomen. Voor de toetsing van deze informatie door onafhankelijke deskundige komt de accountant in beeld. De behoefte en daarmee de controle van niet-financiële informatie is voor de accountant een goede uitgangspositie om in deze behoefte te voorzien.

3

Het verschil tussen financiële en niet-financiële informatie is het normenkader waar de accountant de informatie aan toetst. Bij financiële informatie is dit vastgelegd in wetgeving, zoals het Burgerlijk Wetboek of de Richtlijnen voor de jaarverslaggeving. Voor niet-financiële informatie bestaat echter nog geen wettelijk kader. Echter, de aard van de informatie is niet relevant, maar het ontwikkelstadium van de informatie. Deze is afhankelijk van de mate van volwassenheid van de informatie en de verankering ervan in de organisatie.

Op basis van een verkenning zijn een 29-tal entity-level control ingedeeld in de drie componenten van behaviour control. Op basis van deze verkenning is het mogelijk om assurance te verlenen over behaviour control, indien het systeem functioneert binnen een duidelijk normenkader voor de verantwoording van assurance, met periodieke in- en externe bijsturing op basis van gebruiksdialoog.

4

Voorwoord

Voor u ligt mijn afstudeerscriptie. Deze scriptie heb ik geschreven ter afronding van de Master Accountancy & Controlling aan de Rijksuniversiteit Groningen.

Dit onderzoek richt zich op gedragsmatige aspecten binnen de interne beheersing. Na elke crisis of schandaal is het de tendentie van de overheid, interne en externe toezichthouders en het bedrijfsleven zelf om meer regels, procedures en andere richtlijnen op te stellen om het gedrag van professionals te beheersen. Verschillende onderzoeken wijzen echter uit dat meer regels en structuren niet per sé leiden tot beter gedrag. Dit onderzoek geeft op basis van een theoretische verkenning, antwoord op de vraag in hoe verre gedrag is te beheersen middels ‘soft controls’ en op welke wijze gedragsmatige aspecten van interne beheersing zijn te auditen.

Een aantal mensen heeft me geholpen bij het tot stand komen van deze scriptie. Hierbij wil ik in het bijzonder mijn eerste scriptiebegeleider de heer Dr. O.P.G. Bik bedanken voor zijn begeleiding vanuit de Rijksuniversiteit Groningen. Ook wil ik mijn familie, vrienden en in het bijzonder mijn vriendin bedanken voor de ruimte en hulp die ze mij hebben gegeven voor het schrijven van deze scriptie. Tenslotte wil ik Ernst & Young Accountants in Den Haag bedanken voor het verstrekken van extra studie-uren zodat het mogelijk was om deze scriptie af te ronden.

Ik wens u veel plezier met het lezen van deze scriptie. Voorburg, 25 november 2011

5

Inhoud

Hoofdstuk 1 Inleiding ... 7

1.1 Introductie ... 7

1.2 Aanleiding en doelstelling van het onderzoek ... 9

1.3 Structuur van het onderzoek ... 10

Hoofdstuk 2 Theoretische achtergrond ... 11

2.1 Controls ... 11

2.1.1 Definitie van controls ... 11

2.1.2 Verkenning van soft controls ... 13

2.1.4 Het belang van soft controls ... 15

2.1.5 Conclusie ... 18

Hoofdstuk 3 Soft controls revisited ... 19

3.1 Hopwood ... 19 3.1.1 Administrative controls ... 20 3.1.2 Social controls ... 20 3.1.3 Self controls ... 21 3.2 Lebas en Wagenstein ... 22 3.2.1 Market approach ... 23 3.2.2 Rules ... 23 3.2.3 Culture ... 23 3.3 Simons ... 24

3.3.1 Diagnostic control systems ... 24

3.3.2 Belief systems ... 24

3.3.3 Boundary systems ... 25

3.3.4 Interactive control systems ... 25

3.4 Taylor ... 26

3.4.1 Behaviours... 26

3.4.2 Symbols ... 27

3.4.3 Systems ... 27

3.5 Merchant en Van der Stede ... 28

3.5.1 Results controls ... 28

6

3.5.3 Personnel controls ... 30

3.5.4 Cultural controls ... 30

3.6 Vergelijking Fundamentele theorieën ... 32

3.7 Conclusie: een nieuwe definitie ... 36

Hoofdstuk 4 Assurance over behaviour control ... 37

4.1 Stramien voor assurance-opdrachten ... 38

4.1.1 Betrokkenheid van drie partrijen ... 39

4.1.2 Object van onderzoek ... 39

4.1.3 Criteria ... 39

4.1.4 Assurance informatie ... 40

4.1.5 Assurance-rapport ... 40

4.2 Is er behoefte aan assurance over gedragsaspecten binnen interne beheersing? ... 41

4.3 In hoeverre kan assurance worden verleend over gedrag binnen de interne beheersing? ... 43

4.3.1 Entity-level controls opnieuw geclassificeerd ... 48

4.4 Conclusie ... 55 Hoofdstuk 5 Conclusie ... 57 5.1 Conclusie ... 57 5.2 Beperkingen ... 58 5.3 Vervolgonderzoek ... 58 Literatuurlijst ... 60 Bijlagen ... 63

7

Hoofdstuk 1 Inleiding

Na de introductie van het onderwerp in paragraaf 1.1, volgt de aanleiding en doelstelling van dit onderzoek in hoofdstuk 1.2. Tenslotte wordt in paragraaf 1.3 de structuur van dit

onderzoek toegelicht.

1.1 Introductie

Na elke crisis of schandaal is het de tendentie van de overheid en toezichthouders om meer regels, procedures en andere richtlijnen op te stellen om het gedrag van professionals te beheersen. Voor het management betekent dit een grotere expliciete verantwoordelijkheid om waarborgen te treffen voor betrouwbare financiële verslaglegging. In Nederland is de corporate governance code1 ingevoerd om de interne beheersing te herijken. Voor de bankensector is de code banken2 ingevoerd. De Amerikaanse Sarbanes Oxley Act (SOx)3 is ook een voorbeeld van regelgeving over governance. Allemaal hebben ze als doel om de maatschappij te beschermen tegen de impact van incidenten bij grote ondernemingen. Verschillende onderzoeken wijzen echter uit dat meer regels en procedures geen garantie bieden voor deze bescherming. Mouthaan (2007) laat in zijn onderzoek zien dat de oorzaak van de boekhoudschandalen niet alleen is toe te schrijven aan slechte formele governance, maar dat bovenal de menselijke factor bepalend is voor het effectief functioneren van het governancesysteem. Hierdoor wordt steeds vaker geprobeerd om deze niet-tastbare gedragsfactoren te beïnvloeden, om de doelstellingen van de organisatie te realiseren. De beheersing van deze niet-tastbare gedragsbeïnvloedende factoren hebben in de literatuur verschillende benamingen. Veelal wordt de term ‘soft control’ gehanteerd.

In de literatuur wordt al snel van soft controls gesproken als het om de beheersing van het gedrag van medewerkers gaat. Maar wat er precies mee bedoeld wordt, loopt sterk uiteen. In Nederland zijn er verschillende publicaties verschenen over soft controls door o.a. De Heus en Stremmelaar (2000) en Kaptein e.a. (2010). De bedenker van deze term is James Roth, hij schreef hierover in 1998. Ook worden er veel verwante definities gebruikt als social controls (O.a. Hopwood, 1974), behavior controls (Ouchi, 1979) en personnel and cultural

1 http://www.commissiecorporategovernance.nl/ 2 http://www.commissiecodebanken.nl/scrivo/asset.php?id=541085 3_{http://www.soxlaw.com/}

8

controls (O.a. Merchant, 2007). Naast verschillende definities worden deze in de praktijk ook op verschillende wijze omschreven. Hieronder staan enkele omschrijvingen:

- People´s integrity and ethical value; organizational commitment to competence; management’s philosophy and operating style; management’s understanding and management of risk; and communication (Roth, 1998)

- Een soft control is een (beheers)maatregel welke – meer dan hard controls – ingrijpt op c.q. appelleert aan het persoonlijk functioneren van de medewerkers. ‘Soft controls zijn op te vatten als maatregelen die van invloed zijn op bijvoorbeeld motivatie, loyaliteit, integriteit, inspiratie en normen en waarden van medewerkers. (De Heus en Stremmelaar, 2000)

- Soft controls zijn te definiëren als de beheersingsmaatregelen die betrekking hebben op het innerlijke van de medewerker en mogelijk tot uiting komen in het

arbeidsgedrag van de medewerker. (Mulders, 2008)

Het belang van en aandacht voor cultuur, gedrag en soft controls in de maatschappelijke discussie is evident. In het Financieel dagblad van 18 maart 20114 bijvoorbeeld, stelt Minister Jan Kees de Jager van Financiën, dat wetgeving onontkoombaar is als banken zich niet

houden aan de Code Banken, maar veel vertrouwen heeft hij hier niet in. In de tweede kamer zei hij: ‘Het gaat om cultuur. Wetgeving vind ik minder effectief, daar kun je nog omheen fietsen.’. In de praktijk zien we dan ook dat er steeds meer behoefte is aan

betrouwbare en relevante informatie over gedrag. De praktische relevantie bestaat doordat de nadere uitwerking over hoe de informatie op een betrouwbare en relevante wijze

verkregen kan worden.

4

Broekhuizen, K., ‘Kamer blijft cultuurverandering banken goed volgen’, Financieel Dagblad, Economie & Politiek, 18 maart 2011, pp. 3.

9

1.2 Aanleiding en doelstelling van het onderzoek

In de inleiding wordt duidelijk dat er enerzijds geen eenduidige en heldere definitie bestaat van soft controls en anderzijds bestaat er wel behoefte aan factoren die er specifiek op gericht zijn het gedrag een bepaalde richting op te sturen. Volgens het instituut van Interne Accountants5 worden de soft controls steeds vaker meegenomen bij de uitvoering van (interne) audits. Naast een eenduidige definitie, is het echter nog onduidelijk in hoeverre en op welke wijze assurance gegeven kan worden over soft controls, terwijl hieraan wel

behoefte bestaat.

Onderzoekskader

Het komt steeds vaker voor dat niet-tastbare gedragbeïnvloedende factoren worden ingezet om de doelstellingen van de organisatie te realiseren. In de markt bestaat hierdoor behoefte om door een accountant zekerheid te verschaffen over gedrag (Kaptein en Wallage, 2010). In dit onderzoek worden deze gedragbeïnvloedende factoren naast een strategisch perspectief ook vanuit een beheersmatig perspectief bekeken. Het ontbreekt echter van een duidelijke definitie, wat leidt tot spraakverwarring. Een duidelijke definitie op het gebied van dit onderwerp kan voor een duurzame ontwikkeling zorgen voor het verstrekken van assurance over gedragsbeïnvloedende factoren. Door middel van het vergelijken van verschillende fundamentele onderzoeken wordt in dit onderzoek een poging tot theorievorming gedaan en daarna worden handvatten aangereikt over welke vormen van en hoe assurance gegeven kan worden over ‘soft controls’.

Doelstelling

Het onderzoek is gericht op het verkrijgen van inzicht in de theorie op het terrein van soft controls en de manier waarop assurance gegeven kan worden over deze gedragsmatige aspecten van interne beheersing.

Probleemstelling

In hoe verre en op welke wijze kan assurance verkregen worden over de gedragsmatige aspecten van interne beheersing?

10 De daaronder liggende deelvragen zijn:

1. Wat zijn ‘soft controls’?

2. Wat is het belang van soft controls?

3. In hoeverre bestaat er behoefte aan assurance over gedragsmatige aspecten van interne beheersing?

4. In hoeverre kan er assurance worden verleend over gedragsmatige aspecten van interne beheersing, op basis van een verkenning van de elementen?

1.3 Structuur van het onderzoek

In hoofdstuk 2 wordt beschouwing gegeven over (soft) controls en wordt het belang van soft controls behandeld. Vervolgens wordt in hoofdstuk 3 een vijftal fundamentele onderzoeken beschreven op het gebied van soft controls, waar vervolgens een nieuwe definitie uit

gevormd wordt. In Hoofdstuk 4 wordt de vraag beantwoord of het nodig is om assurance te verlenen over gedragsmatige aspecten van interne beheersing. Daarnaast wordt behandeld in hoe verre het mogelijk is om assurance te verlenen over de gedragsmatige aspecten van interne beheersing. Ook wordt er door middel van een verkenning gekeken of het mogelijk is om op basis van de in hoofdstuk drie gedefinieerde definitie een bestaand model opnieuw in te richten. Hierbij wordt theoretisch vastgesteld of het mogelijk is om assurance te verlenen over deze nieuwe definitie. Tenslotte wordt in hoofdstuk 5 antwoord gegeven op de

onderzoeksvraag, worden de beperkingen van dit onderzoek gegeven en worden er een aantal suggesties gedaan voor vervolgonderzoek.

11

Hoofdstuk 2 Theoretische achtergrond

In dit hoofdstuk wordt de theoretische achtergrond gegeven van soft controls. Om soft controls in het grotere geheel te plaatsen wordt in dit hoofdstuk antwoord gegeven op de eerste twee deelvragen. Deze deelvragen zijn:

- Wat zijn ‘soft controls’?

- Wat is het belang van soft controls?

In de conclusie van dit hoofdstuk wordt een samenvatting geven van de in dit hoofdstuk verzamelde informatie.

2.1 Controls

In de volgende paragraaf vindt een studie plaats naar de definitie van controls. De

uitkomsten worden gebruikt bij de daaropvolgende paragraaf. Daarin wordt soft controls onderzocht, een term waar vooralsnog nog geen eenduidige definitie van bestaat.

Vervolgens wordt het belang van soft controls onderzocht.

2.1.1 Definitie van controls

Om verwarring te voorkomen wordt een aantal begrippen rondom beheersing toegelicht. De term beheersing, of interne beheersing of internal control wordt vaak in combinatie

genoemd met interne controle. Ondanks dat dit hetzelfde lijkt, hebben ze toch een geheel andere betekenis. Internal control wordt door COSO6 als volgt gedefinieerd:

‘Internal control is broadly defined as a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:

1. effectiveness and efficiency of operations; 2. reliability of financial reporting;

12

3. compliance with applicable laws and regulation.

Emanuels (2005) geeft aan dat er in het Nederlands geen equivalent is van het Engelse ‘Control’. Hij geeft aan dat control niet gaat over controleactiviteiten zoals bij interne controle het geval is, maar meer om het ‘in de greep houden’ of ‘bestuurbaar maken’. De Nederlandse term ‘controle’ heeft slechts een terugkijkend en een constituerend karakter en geen betekenis voor het op koers houden van de organisatierichting de toekomst. Interne beheersing is daarom een betere vertaling van het Engelse ‘internal control’. Emanuels (2005) geeft de volgende definitie voor interne beheersing:

‘Het systeem dat het management in staat stelt om de risico’s, die het behalen van

doelstellingen van de organisatie bedreigen, te identificeren, te prioriteren, te analyseren en te beheersen.’

Daarbij benoemt Emanuels (2005) vier subdoelstellingen voor de door hem gehanteerde definitie:

1. strategic control; 2. operational control; 3. value control; 4. reporting control.

Alleen strategic control van deze vier subdoelstellingen komt niet voor in de definitie van internal control door COSO (1992). In de uiteindelijke COSO Enterprise Risk Management (2004) is strategic control echter wel opgenomen als subdoelstelling.

Het vaststellen van de strategie is de taak van de ondernemingsleiding en wordt beheerst binnen strategic control (Emanuels, 2005). Hierbij worden de risico’s beheerst die de

ondernemingsdoelen bedreigen, inclusief de risico’s van de wijze waarop de doelen gehaald worden. Hierbij zijn de logica en consistentie van de strategie, evenals de verantwoording die hierover wordt afgelegd, een object van beheersing. Met de invoering van de corporate governanceregelgeving komt het bovendien vaker voor dat de strategie in het jaarverslag wordt opgenomen (Claassen, 2009). Hierdoor heeft strategic control steeds vaker betrekking op het afleggen van verantwoording.

13

Vervolgens volgt een top-down implementatie van de geformuleerde strategieën, zodat deze ook daadwerkelijk uitgevoerd worden. Hierbij worden de ondernemingsdoelen geconcretiseerd en gekoppeld aan processen, afdelingen en functionarissen. Individuen en groepen worden hierbij verantwoordelijk gesteld voor het behalen van de aan hen gestelde doelen. Bij operational control wordt de feitelijke koers van de organisatie in relatie tot de doelstellingen en het eventueel nemen van maatregelen om bij te sturen bepaald. Oftewel het zorg dragen voor de efficiency en de effectiviteit van operationele processen (COSO: effectiveness and efficiency of operations).

De derde subdoelstelling, value control, kan omschreven worden als maatregelen die

verzekeren dat de organisatie zich houdt aan relevante wet- en regelgeving, of aan de codes voor maatschappelijk verantwoord ondernemen, zoals COSO (compliance with applicable laws and regulation) ook beschrijft. Emanuels gaat bovendien een stap verder in zijn beschrijving van value control: de organisatie treft en handhaaft maatregelen die de eigenwaarden benadrukken of versterken.

De laatste subdoelstelling is reporting control. COSO noemt deze categorie: reliability of financial reporting. Emanuels is ook hierbij uitgebreider dan de beschrijving van COSO. Onder COSO vallen de processen omtrent de betrouwbaarheid van de externe

verantwoording. Emanuels is van mening dat ook het bewaken van de betrouwbaarheid van informatie die door de organisatie intern gebruikt wordt ook belangrijk is.

Pas als aan alle vier de subdoelstellingen is voldaan, zegt dit iets over de doelstellingen van interne beheersing en daarmee of het bedrijf ‘in-control’ is, stelt Emanuels.

2.1.2 Verkenning van soft controls

Er bestaat geen eenduidige definitie van hard- en soft controls. In de inleiding kwamen al verschillende definities voorbij. Tevens zijn er in de inleiding een aantal alternatieve benamingen benoemd. Ondanks het ontbreken van een eenduidige definitie, zijn er wel enkele overeenkomsten. In alle definities wordt ‘soft controls’ beschouwd als

verzamelbegrip voor diverse, uiteenlopende beheersingsmaatregelen. Deze

beheersingsmaatregelen hebben als gemeenschappelijk kenmerk dat ze voornamelijk

bestaan of te maken hebben met menselijke gedragsaspecten (Claassen, 2009). Voorbeelden hiervan zijn o.a. creativiteit, cultuur, integriteit en leiderschap. In combinatie met de

14

definitie van control kan dus gezegd worden dat soft controls gaan over de beheersing van menselijke gedragsaspecten, zodat met een redelijke mate van zekerheid de

ondernemingsdoelen gehaald worden.

Toch kan het woord ‘soft’ voor enige verwarring leiden. Met ‘soft’ worden volgens Kaptein en Wallage (2010) de gedragsbeïnvloedende factoren als cultuur en voorbeeldgedrag bedoeld. Dit zegt verder nog niets over de meetbaarheid, invloed en beheersbaarheid van deze aspecten. De Heus en Stremmelaar (2000) maken daarom onderscheid tussen

beheersmaatregelen en kritische organisatievariabelen. Als voorbeeld gebruiken zij cultuur, dat vaak wordt aangeduid als soft control. Cultuur wordt omschreven als ‘het geheel van normen en waarden dat de leden van de organisatie hanteren’. Daarmee zijn zij van mening dat dit eerder te typeren is als een te beïnvloeden variabele, dan als een beheersmaatregel. Een operational auditor kan de beheersingsmaatregel pas beoordelen wanneer er zicht is op de beoogde effecten van die maatregelen. Hiervoor dient men binnen de organisatie eerst in kaart te brengen wat wenselijk wordt geacht. Kaptein en Wallage (2010) geven wel aan dat gedragingen geconcretiseerd en bewerkstelligd dienen te worden door relevante

uitgangspunten te verankeren in de organisatiedoelstellingen. Vervolgens kunnen deze uitgaanspunten verder worden uitgewerkt in de strategie. In figuur 2.1 is dit weergegeven. De gewenste gedragingen van de organisatie worden beheerst d.m.v. hard- en soft controls. Gezamenlijk maken zij deel uit van het beheersingskader.

15

Figuur 2.1 Gedrag, gedragingen, en gedragspraktijken en de rol van hard en soft controls, (Kaptein, M. en Wallage P. 2010)

2.1.4 Het belang van soft controls

Gedragsaspecten binnen ondernemingen bestaan als sinds er ondernemingen bestaan, het werk wordt immers (deels) door mensen uitgevoerd. De Heus en Stremmelaar (2000) stellen dat het management niet altijd bewust is van de aanwezige ‘soft controls’ of de wijze

waarop alle organisatorische maatregelen de aanwezige organisatiedoelstellingen kunnen beïnvloeden. Daarmee komen soft controls in beeld voor de controller en de internal (of operational) auditor. Deze spelen immers een rol bij het inrichten en evalueren of beoordelen van de door het management getroffen beheersingsmaatregelen. Een veel gebruikt raamwerk hierbij is COSO. Binnen COSO wordt de beheersomgeving vergeleken met een sterke fundering van een gebouw. Deze fundering binnen COSO zorgt de basis van de interne beheersing. In de originele publicatie van COSO (1992), zijn soft controls binnen de

16

beheersomgeving zelfs gepositioneerd als meest fundamentele controls. De

beheersomgeving kan bestaan uit een set van hard- en soft controls. Ook wanneer de hard controls op papier goed in orde zijn, zoals de formele regels en de ondernemingsstructuur, gaat het uiteindelijk om het gedrag van de werknemers. Een duidelijk voorbeeld hiervan is Enron. Dit inmiddels failliete bedrijf beschikte over een uitgebreid handboek (hard control) met een ‘code of ethics’. Hierin stonden de normen en waarden die golden binnen het bedrijf (bijvoorbeeld transparantie, oprechtheid en integriteit). Ondanks de formele

vastlegging van deze normen en waarden, werd hier niet naar gehandeld met als gevolg dat Enron als bedrijf niet meer bestaat. De Koning (2008) stelt daarom dat het niet toereikend is om alleen vast te stellen dat een organisatie beschikt over een gedragscode. Naar aanleiding van een onderzoek, uitgevoerd door KPMG is een artikel geplaatst waarin dit ook wordt onderkend. De volgende bewoordingen zijn afkomstig uit dit artikel7:

‘Als gevolg van de financieel-economische crisis heeft de aandacht voor regels en procedures bij de bedrijven plaatsgemaakt voor de sociale aspecten die ten grondslag liggen aan het integer handelen van hun werknemers, zoals cultuur, vertrouwen, betrokkenheid en loyaliteit.’

De hiervoor genoemde verschuiving geeft het belang van soft controls duidelijk weer. Het onderzoek van KPMG is niet het enige onderzoek dat dit ondersteunt. Kaptein, De Groot en Rozenkrans (2005) noemen drie redenen voor de beperkte waarde van de beheersing enkel door middel van regels en procedures. Traditionele regels en procedures worden onder andere gebruikt om bepaald gedrag af te dwingen. Echter zijn deze regels en procedures afhankelijk van de gedragingen van de werknemers. Ten eerste is er een optimum aan effectieve beheersmaatregelen. Er geld niet hoe meer regels hoe beter. Uit empirisch onderzoek van Katz-Navon, Naveh en Stern (2005) blijkt zelfs dat vanaf een zeker moment meer regels leiden tot meer wangedrag en incidenten. Ten tweede hebben regels en

procedures een bepaalde reikwijdte, waardoor niet iedere vorm van ongewenst gedrag is uit te sluiten. Bijvoorbeeld door samenspanning worden de regels en procedures binnen de organisatie ontlopen. Als laatste wordt genoemd dat regels en procedures niet op zichzelf

7

Meer aandacht interne accountant voor soft controls 12-2-2011. Voor het volledige bericht zie:

17

staan. Er moet voldoende draagvak bestaan om de regels en procedures na te leven. Soft controls werken ondersteunend bij de beheersing door middel van regels en procedures. Ook Bik (2010) illustreert in zijn proefschrift ter verkrijging van het doctoraat in de Economie en Bedrijfskunde aan de Rijksuniversiteit Groningen, dat het gedrag van mensen niet

simpelweg gestuurd en gecontroleerd kan worden door regels, procedures en andere richtlijnen. Het management kan alleen effectief zijn wanneer er aandacht bestaat voor de culturele en sociale context. Het management heeft tegenwoordig de neiging en behoefte om het gedrag van de werknemers te beheersen om hun prestaties te waarborgen. Als het gedrag van de werknemers niet in lijn staat met de kernwaarden en strategie van de organisatie, is het minder waarschijnlijk dat doelen gehaald gaan worden en aan de verwachting van stakeholders wordt voldaan. Regels zorgen voor duidelijkheid, maar een teveel hiervan zorgt voor een vermindering van individuele en persoonlijke

verantwoordelijkheid. Daarom zou het management moeten overwegen om regels te verminderen en meer op gedrag gebaseerde maatregelen in te voeren.

Roth (1998) komt tot dezelfde conclusies en stelt daarbij dat nieuwe technologieën (verdergaande automatisering en informatisering), de belangstelling voor soft controls vergroot. Dit wordt veroorzaakt doordat bestaande procedures en structuren minder relevant worden door verschillende vormen van empowerment. In een traditionele

organisatie, met een verticale machtsstructuur worden beslissingen alleen genomen door de top. Bij empowerment worden verantwoordelijkheden gedelegeerd naar lagere niveaus en samenwerkingsvormen van medewerkers in bijvoorbeeld projectteams of andere

zelfstandige eenheden gestimuleerd, waardoor meer een horizontale machtsverhouding ontstaat, ook wel ‘verplatting van de organisatie’ genoemd.

Toch moeten hard controls niet buiten beschouwing gelaten worden, want deze zorgen ook dat het gedrag in een bepaalde gewenste richting wordt gestuurd. Echter met de hiervoor genoemde redenen zijn enkel en alleen hard controls niet toereikend. Daarom dienen hard controls aangevuld te worden met soft controls. Daarbij gaat het om de combinatie tussen hard- en soft controls. Hoewel het relatieve belang van soft controls per organisatie

verschilt, kan in het algemeen gesteld worden dat het relatieve belang in de beheersing van de organisatie toeneemt (Hartog, P. en Korte, R. 2003).

18

2.1.5 Conclusie

In deze paragraaf wordt de conclusie uiteengezet met betrekking tot de verschillende definities van (soft) controls en het belang hiervan.

Interne beheersing is de beste Nederlandse vertaling van het Engelse ‘Control’. Interne beheersing behelst het bestuurbaar maken van de organisatie. Het proces van interne beheersing heeft als doel het geven van een redelijk mate van zekerheid omtrent het behalen van de ondernemingsdoelen. Hiermee is de vraag ‘wat zijn controls?’ beantwoord. In de (wetenschappelijke) literatuur bestaan er veel verschillende definities die betrekking hebben op de gedragsaspecten binnen de interne beheersing. Hiervan is ‘soft controls’ de meest ingeburgerde definitie. Soft kan echter zorgen voor verwarring, doordat dit

geïnterpreteerd wordt als iets wat er niet toe doet of iets wat niet te beheersen valt. Bovendien worden ‘hard’ controls ook gebruikt om het gedrag te beheersen. Doordat er zoveel verschillende benamingen en definities zijn, is vanuit de literatuur moeilijk een

eenduidige omschrijving te geven. Wel kan geconcludeerd worden dat hard- en soft controls het gedrag beïnvloeden. Omdat deelvraag 1: ‘Wat zijn (soft) controls?’ niet volledig is

beantwoord, wordt in het volgende hoofdstuk op basis van een vijftal fundamentele onderzoeken een nieuwe, voor dit onderzoek werkbare definitie gevormd.

Ondanks dat er geen eenduidige definitie bestaat, is het belang wel te onderkennen. Het belang van het gedrag binnen organisaties wordt zowel in de media als in de literatuur breed ondersteund. Als gevolg van de vele boekhoudschandalen evenals de complete financiële crisis, hebben veel regels en procedures plaatsgemaakt voor de sociale aspecten die ten grondslag liggen aan het integer handelen van alle medewerkers. Dit uit zich onder andere in de cultuur, vertrouwen, betrokkenheid en loyaliteit. (deelvraag 2)

19

Hoofdstuk 3 Soft controls revisited

In het vorige hoofdstuk is een theoretische achtergrond gegeven van soft controls. Hieruit bleek dat er veel termen en definities door elkaar gebruikt worden. Hierdoor is het nog niet duidelijk wat soft controls precies zijn. In dit hoofdstuk worden daarom vijf fundamentele onderzoeken op het gebied van soft controls beschreven en vergeleken. De conclusie resulteert in een nieuw, voor dit onderzoek werkbare definitie.

3.1 Hopwood

Hopwood (1974) had al een toenemend besef voor sociale aspecten binnen interne

beheersing. Wanneer niet wordt gekeken naar deze sociale aspecten, is het zelfs onmogelijk om adequaat om te gaan met interne beheersing.

Management accounting draagt bij aan het succes van de onderneming door de manier waarop dit proces het gedrag van mensen beïnvloedt. Het doel hierbij moet zijn om de procedures op een manier te ontwerpen, dat managers en werknemers gestimuleerd worden om de ondernemingsdoelen na te streven. Interne beheersing gaat dus voor een deel om de beheersing van menselijk gedrag. De sociale en gedragsaspecten zijn daarmee een onmisbaar deel, naast het geheel van traditionele technische aspecten van interne beheersing. Hopwood maakt onderscheid in drie soorten controls: administrative-, social- en self controls. Hieronder worden deze verschillende controls beschreven. Tevens is in figuur 3.1 weergegeven wat de samenhang is tussen deze controls.

20

Figuur 3.1 The pattern of organisational control. (Hopwood, A.G. 1974)

3.1.1 Administrative controls

Administrative controls zijn ontworpen om structuur te geven aan het proces van besluitvorming in complexe ondernemingen. Dit zijn vaak de formele regels, en

standaardprocedures die trachten het gedrag van managers en werknemers te regelen. Een budget, doelen en standaarden zijn voorbeelden die gebruikt worden om werknemers en managers te leiden in een bepaalde richting. Ook kan achteraf geëvalueerd worden of de doelen gehaald zijn en dienen ze dus als een norm. Hopwood stelt dat het opstellen van deze formele structuur niet voldoende is om een gewenste mate van interne beheersing te bereiken.

3.1.2 Social controls

Naast de administrative controls kunnen social controls ingezet worden om doelen te bereiken. Bij social controls worden niet de formele middelen ingezet om deze doelen te bereiken, maar groepsnormen, cultuur en sociale interactie. Dit kan zich bijvoorbeeld uiten in de taal die gesproken wordt, de dress-code, arbeidsethos, stijl van leidinggeven en de tolerantie van slechte prestaties van andere werknemers. Bedrijfs- of team evenementen

Control of the enterprise admini-strative controls Self controls Social controls

21

kunnen bijvoorbeeld bijdragen aan het creëren van betere voorwaarden voor sociale

interactie. Een sterke of geconcentreerde organisatiecultuur kan veel doeltreffender zijn om bepaalde prestaties te behalen, dan een bureaucratie van regels en procedures. Daarnaast kunnen sterke overtuigingen helpen bij het opbouwen van effectieve reputatie in de markt. Social controls kunnen bovendien helpen om werknemers te binden en met deze solidariteit kunnen de prestaties en motivatie van individuele werknemers en de organisatie als geheel verbeteren. Hoewel social controls een belangrijke invloed hebben op het gedrag, verschilt de vorm, sterkte en richting hiervan per onderneming. Zelfs binnen de onderneming kan dit verschillen van groep tot groep.

3.1.3 Self controls

Uiteindelijk worden bij elke vorm van control de acties van individuele managers en

werknemers uitgedrukt. Zoals bij het ontwerp van vele strategieën weerspiegeld, zouden de administrative en social controls beiden direct of indirect invloed moeten hebben op de wijze waarop werknemers zich bepaalde sociale regels eigen maken, zodat deze regels na verloop van tijd niet langer worden beschouwd als van buitenaf opgelegde voorschriften maar als richtlijnen die men zelf heeft gekozen. Dit wordt eerder bereikt wanneer ingespeeld wordt op de persoonlijke behoeften van de werknemer zowel in materiële zin als erkenning. Deze wijze van zelfregulering is in essentie afhankelijk van het vermogen, kennis en

vaardigheden van het individu.

Control in organisations

Samenvattend kunnen we stellen dat administrative, social en self controls binnen een onderneming niet afzonderlijk van elkaar beschouwd kunnen worden. Als een type control tegenstrijdig werkt met een andere, kan dit negatieve gevolgen hebben voor het

gezamenlijke resultaat. De administrative control kan bijvoorbeeld ontworpen zijn om de productiviteit te verhogen, maar dit zal weinig effect hebben als de werknemers hun eigen social controls hebben ontwikkeld, waarbij het verhogen van de productiviteit juist wordt tegengewerkt. Of een budgetsysteem dat weinig nut heeft, omdat het de meeste managers en werknemers niet motiveert. Echter, wanneer de drie controls samen werken in dezelfde richting, kunnen de doelen gehaald worden met een geringe hoeveelheid aan interne beheersingsmaatregelen. Wanneer bijvoorbeeld de gestelde verkoopdoelen van het de

22

directie overeenkomen met de normen die verkoopmanagers onderling hebben vastgesteld en als de verkoopmanagers vervolgens hun best doen om hun eigen talent en vaardigheden te verbeteren, dan zal de totale inspanning die besteed wordt aan de verkoop zeer hoog moeten zijn. In deze omstandigheden waarbij de social en self controls overeenkomen met de administrative controls, zal de totale hoeveelheid controls zowel hoog als onopvallend zijn. Omdat de mogelijke samenhang tussen de verschillende vormen van control bestaat, moet de onderneming voor een effectieve strategie een visie ontwikkelen waarbij

administratieve, sociale en persoonlijke aspecten worden meegenomen.

3.2 Lebas en Wagenstein

Lebas en Wagenstein (1986) stellen dat control systems gebaseerd zijn op een combinatie van drie onderliggende benaderingen: markets, rules en culture, met als doel om gewenst gedrag van werknemers binnen een organisatie te sturen. In figuur 3.2 is dit schematisch weergegeven. De onderlinge verhoudingen tussen de drie benaderingen kan per

onderneming verschillen. Door een juiste inzet van management control systemen wordt het belang van op regels gebaseerde beheersing verminderd, doordat de beheersing meer is opgenomen in de organisatiecultuur.

Figuur 3.2 Triangular of markets, rules and culture (Lebas, & Wagenstein, 1986)

Management control wordt door Lebas en Wagenstein gedefinieerd als het proces waarbij een organisatie ervoor zorgt dat alle afdelingen in een organisatie op een gecoördineerde en samenwerkende wijze, de doelen van de organisatie nastreven. Het management control systeem bevindt zich in een menselijke situatie en hangt dus af van de gedragingen binnen

23

de organisatie. Daarom is het van belang om de managers te motiveren om de keuzes te maken in het belang van de onderneming. Om dit te bereiken kunnen drie verschillende benaderingen gebruikt worden binnen het interne beheersingssysteem. Hieronder worden deze drie verschillende benaderingen omschreven.

3.2.1 Market approach

Bij de ‘markt’ benadering wordt het gedrag van beïnvloed door het mechanisme van de vrije markt. De mate waarin dit gebeurt, hangt af van de regels die er gelden in de markt, vraag en aanbod en de manier waarop de onderneming geld verdient. De nadruk ligt hierbij volledig op de prestaties. De markt geeft namelijk een signaal af aan het management of ze op dezelfde manier kan blijven functioneren of dat ze zich moeten aanpassen aan nieuwe marktomstandigheden om de doelen te behalen.

3.2.2 Rules

Regels of voorschriften zijn het meest zichtbaar binnen het control system. Het combineert duidelijke input (bijvoorbeeld planningen en budgetten, beschrijven van taken en

procedures) met duidelijke output (bijvoorbeeld omzetresultaten, rapporten en prestatieanalyses). Deze aanpak werkt het best wanneer de omgeving niet te veel aan verandering onderhevig is, er vooraf goede voorspellingen gedaan kunnen worden met betrekking tot de in- en output en er een relatief lange tijdsspan bestaat om de planning en uitvoering bij te sturen. Een tekortkoming van deze aanpak is het ontbreken van de

mogelijkheid om snel op marktomstandigheden in te spelen. Dit is te wijten aan de tijd die het kost om de resultaten te meten en het analyseren van eventuele verschillen met de input.

3.2.3 Culture

Cultuur biedt de mogelijkheid om voorschriften en procedures, doelen en taken uit te laten voeren door de werknemer, zonder dat deze worden opgelegd vanaf een hoger

management, zoals wel gebeurd bij de rules benadering. Organisatiecultuur is moeilijk te definiëren, maar wel van essentieel belang. Cultuur is een bepaalde drijfveer, wat een zekere betekenis geeft aan de activiteiten die wij uitvoeren. Hierdoor ontstaan gezamenlijke

24

doelen en verwachtingen over de verschillende functies, taken en gedragingen binnen een organisatie. De cultuur benadering beschrijft een filosofie, waarvan de waarden worden gevormd en afgestemd op de economische en zakelijke omgeving van de onderneming. Een combinatie van deze drie benaderingen moet zorgen voor de juiste mate van interne beheersing. Hierbij is niet te zeggen welke van deze drie benaderingen de beste is.

Verschillende factoren (zoals grootte van het bedrijf, branche waarin het bedrijf opereert en de leeftijd van het bedrijf) hebben invloed op de wijze waarop het interne

beheersingsysteem ingericht kan worden.

3.3 Simons

Simons (1995) beschrijft vier levers of control: diagnostic control systems, belief systems, boundary systems en interactive control systems. Een combinatie van deze ‘levers of control’ moet zorgen voor een goede verhouding tussen ‘empowerment’ en ‘control’. Hieronder staan de vier levers uitgebreider beschreven.

3.3.1 Diagnostic control systems

Diagnostic control systems wordt door managers gehanteerd om doelen te monitoren. Simons vergelijkt het systeem met een cockpit van een vliegtuig, waarbij de piloot alle meetinstrumenten binnen de cockpit in de gaten houdt en controleert op

onregelmatigheden. Toch is dit niet altijd effectief omdat de enigszins stijve benadering vanuit de top weinig ruimte overlaat voor een eigen inbreng. Ook kunnen ze zorgen voor hoge druk bij de werknemers om de doelen te halen, waardoor manipulatie gaat

plaatsvinden. Bovendien kunnen managers denken dat wanneer ondergeschikten

doelstellingen en prestatietargets toegewezen hebben gekregen, het verder niet nodig is dat zij controle uitvoeren.

3.3.2 Belief systems

Belief systems zijn te definiëren als de kernwaarden waar de organisatie voor staat en waar managers en medewerkers zich naar dienen te gedragen, almede het motiveren van

25

medewerkers. Door het communiceren naar en uitdragen van kernwaarden naar werknemers, zullen zij zich laten leiden door de missie en ethiek van de onderneming. Wanneer belief systems niet aanwezig zijn binnen een grote en gedecentraliseerde

organisatie, hebben werknemers vaak geen idee wat de kernwaarden van de organisatie zijn en kunnen ze daar moeilijker aan bijdragen. Een voorwaarde voor het laten bijdragen aan de kernwaarden van de organisatie en het motiveren van werknemers, is het uitdragen hiervan door het management, ofwel ‘tone at the top’.

3.3.3 Boundary systems

Boundary systems zijn gebaseerd op het management principe ‘power of negative thinking’. Het opleggen van standaardprocedures ontmoedigd het initiatief en de creativiteit van werknemers. Door te vertellen wat niet mag en daarbij duidelijke gedefinieerde standaarden te stellen, kunnen werknemers initiatieven nemen en hun creativiteit gebruiken. Ze zijn vaak geschreven in de vorm van activiteiten die verboden terrein zijn en worden opgenomen in de ‘code of conduct’. Ook worden ze worden ook de remmen van de organisatie genoemd, waarmee geprobeerd wordt om te voorkomen dat de werknemers onacceptabel gedrag vertonen.

3.3.4 Interactive control systems

Interactive control systems omvat regelmatig contact tussen de leidinggevenden,

management en werknemers over kansen en bedreigingen die zich voordoen op strategisch niveau. Het doel hiervan is dat de leiding goed geïnformeerd is over de ontwikkelingen binnen de onderneming en anderzijds dat de werknemers betrokken worden bij de strategische doelstellingen van de onderneming. De organisatie wordt zo ingericht dat de doelstellingen gehaald worden en de werknemers het maximale uit zichzelf halen.

Afzonderlijk zal geen lever of control in staat zijn om te zorgen voor een betrouwbaar intern beheerssysteem. Een combinatie van deze vier levers of control moet zorgen voor een optimale balans tussen empowerment en control.

26

3.4 Taylor

Volgens Taylor (2005) bestaat er een sterke relatie tussen prestaties van een organisatie en de bedrijfscultuur. Een sterke bedrijfscultuur kan zorgen voor buitengewone prestaties door werknemers die voorheen bestempeld werden als middelmatig. Taylor beschrijft in haar boek manieren om de cultuur te veranderen en noemt dit het proces van ‘walking the talk’. Bik (2011) geeft een Nederlandse definitie van cultuur die sterk overeenkomt met de wijze waarop Taylor schrijft over cultuur:

Cultuur: het geheel van (formele en informele) boodschappen die een bepaalde groep of organisatie uitzendt over de zaken die echt gewaardeerd worden en hoe men geacht wordt zich te gedragen binnen die groep of organisatie.

Om het gewenste gedrag binnen de organisatie te realiseren, is cultuur een middel om dit te bereiken. Het veranderen van cultuur wordt niet bereikt door het opstellen van nieuwe richtlijnen of normen. Zoals in de definitie naar voren komt zijn het de boodschappen die men denkt te ontvangen over wat echt gewaardeerd wordt en hoe men geacht wordt zich te gedragen binnen een groep of organisatie. Deze boodschappen worden doorgegeven, waardoor de cultuur gehandhaafd blijft.

Cultuur gaat dus over de boodschappen die worden uitgezonden. Volgens Taylor (2005) bestaan er drie bronnen die samen deze organisatiecultuur vormen: Behaviour, Symbols en Systems.

3.4.1 Behaviours

Hierbij gaat het vooral om het gedrag van de leiding (tone at the top), maar ook om het gedrag van de medewerkers onderling. Als binnen de organisatie duidelijke

gedragsrichtlijnen aanwezig zijn, maar als de leiding als rolmodel voor medewerkers gedrag vertoont dat niet in lijn ligt met deze gedragsrichtlijnen, dan worden er inconsistente gedragsnormen gecommuniceerd. Bijvoorbeeld wanneer binnen een bedrijf

27

benaderbaarheid en openheid belangrijk wordt bevonden, maar de leiding altijd de deur van hun kantoor dicht hebben en in een aparte kantine lunchen, is dit in strijd met elkaar.

3.4.2 Symbols

Met symbols worden de symbolen of beslissingen bedoeld die genomen worden binnen de organisatie. De manier waarop de organisatie omgaat met geld en tijd laat zien wat er binnen de organisatie echt belangrijk wordt bevonden. Wanneer een bestuurder klanttevredenheid noemt als een kernwaarde van de organisatie, maar vervolgens

producten verkoopt waarvan hij weet dat de klant hier niet tevreden over zal zijn, handelt hij niet naar wat hij zegt. Vooral wanneer er een deadline nadert voor het behalen van een bonusafhankelijke target laat zien wat de echte kernwaarden zijn voor een bedrijf.

3.4.3 Systems

De laatste bron bestaat uit de systemen en structuren binnen de organisatie zoals de bonusregeling, organisatiestructuur en het systeem van managementrapportage. Deze systemen zijn bedoeld om mensen en taken te managen.

Wanneer een organisatie in haar jaarverslag vermeldt dat klanttevredenheid één van de kernwaarden van het bedrijf is, kan dit alleen echt zo zijn wanneer alle drie de bronnen dit ondersteunen. De organisatie moet hier daadwerkelijk naar handelen (‘walking the talk’). Alleen een regel over het omgaan met klanten en het controleren of de regel goed wordt toegepast (system of hard control) zal niet voldoende zijn als de behaviour en symbols (soft controls) dit niet ondersteunen. Hierbij zijn de keuzes die gemaakt worden belangrijk,

hiermee worden continu boodschappen uitgezonden van wat wel (of juist niet) gewaardeerd wordt binnen de organisatie. Wanneer die boodschap langs deze drie verschillende lijnen zowel inhoudelijk als in de tijd consistent is, zullen mensen hun gedrag langzaam maar zeker aanpassen in de gewenste richting. Omgekeerd kan inconsistentie leiden tot ongewenst gedrag (Bik, O.P.G. 2011).

Door te kijken of klanttevredenheid daadwerkelijk op de agenda staat, ook wanneer eventuele financiële targets niet of bijna gehaald worden, laat zien wat de organisatie echt beweegt. De tone at the top speelt hierbij een belangrijke rol. Sklar (2009) geeft de volgende

28

beschrijving van tone at the top, waarin de kernwaarde van de organisatie duidelijk naar voren komt en sterk in lijn is met het denken van Taylor:

Tone at the top is a visible willingness by senior management to let values drive decisions, to prioritize those values above other factors—including financial results—and to expect all others in the organization to do the same.

3.5 Merchant en Van der Stede

Merchant en Van der Stede (2007) onderscheiden vier management control benaderingen: results controls, action controls, personnel controls en cultural controls. Het doel van deze controls is om werknemers te laten handelen in het belang van de onderneming.

3.5.1 Results controls

De op resultaten gestuurde controls worden gekenmerkt door het belonen van goede resultaten en het straffen bij slechte resultaten. Naast financiële beloningen kan bijvoorbeeld ook beloond worden met erkenning en promotie (niet-financieel). Results control kan alleen worden ingezet wanneer de werknemer zelf invloed heeft op de prestatie en de prestaties goed te meten zijn. Doordat het resultaat invloed heeft op de beloning, kunnen results control motiverend werken, hebben ze invloed op het gedrag doordat werknemers zelf kunnen kiezen welke acties ze uitvoeren om het gewenste resultaat te behalen.

De implementatie van results controls kent vier stappen:

1. Vaststellen welke prestaties worden gemeten

Hierbij wordt duidelijk welke dimensies worden gemeten, dimensies kunnen bijvoorbeeld de winstgevendheid, klanttevredenheid of kwaliteit zijn. 2. Meetbaar maken van de prestaties

Zowel de financiële als niet-financiële dimensies moeten meetbaar gemaakt worden om later te kunnen belonen of straffen.

3. Het stellen van een standaard of doel

Het stellen van een standaard of doel is nodig om de werknemer te stimuleren om een bepaalde prestatie na te streven.

29 4. Belonen of straffen

Nadat de prestatie is geleverd wordt de werknemer beloond of gestraft.

3.5.2 Action controls

Action controls richten zich direct op de acties van de werknemers. Hiermee wil het management bereiken dat werknemers activiteiten uitvoeren ten gunste van de

onderneming en activiteiten niet uitvoeren die nadelig kunnen zijn voor de organisatie.

Action control kent vier vormen:

1. Gedragsmatige beperkingen

Dit is de negatieve vorm van action control, waarbij het onmogelijk of moeilijk wordt gemaakt om bepaalde activiteiten uit te voeren. Voorbeelden zijn functiescheiding, fysieke toegangsbeveiliging.

2. Vooraf goedkeuren van activiteiten

Bij deze vorm dient er eerst een goedkeuring te worden ontvangen voorat de activiteit uitgevoerd mag worden. Dit kan bijvoorbeeld worden ingesteld voor uitgaven boven een bepaalde grens.

3. Verantwoordingsplicht van acties

Hierbij worden werknemers verantwoordelijk gehouden voor de door hun uigevoerde werkzaamheden. Hierbij dient vooraf bepaald te worden wat

(on)acceptabel gedrag is, vervolgens dient dit te worden gecommuniceerd naar de werknemers. Wanneer iemand toch onacceptabel gedrag vertoond dient hier een straf op te staan. Belangrijk is ook dat de straf daadwerkelijk wordt toegepast. Een voorbeeld hiervan is de regel dat personeel geen producten uit het bedrijf mag stelen. Wanneer dit toch gebeurt, wordt de betreffende medewerker ontslagen.

4. Personeelsinzet

Hierbij worden meer werknemers ingezet voor een bepaalde taak dan strikt noodzakelijk, om te bereiken dat de kans groter wordt dat deze taak goed wordt uitgevoerd. Een voorbeeld hiervan is de brandweer, daarbij staan vaak meer mensen klaar dan er strikt noodzakelijk zijn.

30

3.5.3 Personnel controls

Personnel controls zijn gebaseerd op de natuurlijke neiging van werknemers om zichzelf te motiveren, beheersen en om hun eigen belang na te streven. Ze kunnen op drie manieren bijdragen:

1. verduidelijken wat de onderneming wil en verwacht van de werknemers; 2. zorgen dat de werknemers hun werk goed uit kunnen voeren;

3. het vergroten van de kans dat werknemers zichzelf sturen.

Bij zelfsturing gaat het om de natuurlijke neiging van de meeste werknemers om hun werk goed te doen en de organisatiedoelen te bereiken. Zaken die zorgen voor zelfsturing zijn bijvoorbeeld: self-control, intrinsieke motivatie, ethiek, vertrouwen en loyaliteit.

De implementatie van personnel controls drie mogelijkheden:

1. selectie en plaatsing

Het selecteren van de juiste werknemers en het verschaffen van de juiste

werkomgeving en middelen vergroot de kans dat ze hun taak goed uitvoeren en is daarmee een belangrijk element van personnel controls.

2. Training

Training kan eraan bijdragen dat werknemers hun taken goed uitvoeren. Ook kan het de werknemers motiveren.

3. Ontwerpen van taken en het leveren van de juiste middelen

Om te realiseren dat werknemers hun taken naar goed uitvoeren, is het van belang dat taken ontworpen zijn op een manier dat het voor de werknemers mogelijk is om deze succesvol uit te voeren.

3.5.4 Cultural controls

Cultural controls kunnen uiteindelijk leiden tot groepssturing. Dit kan onder andere bestaan uit groepsdruk op individuen, wanneer de individuen andere normen hebben dan die van de

31

groep. Een organisatiecultuur is gebaseerd op gedeelde tradities, normen, waarden, ideologieën, houding en gedrag. Een sterke organisatiecultuur kan er voor zorgen dat werknemers samenwerken op een energieke en goed gecoördineerde manier.

Er bestaan vijf methoden voor managers om de organisatieculturen vorm te geven en te beïnvloeden:

1. Gedragscodes

Ondernemingen kunnen hun bedrijfscultuur vorm geven door het opstellen van bijvoorbeeld gedragscodes, ethische codes, mission statements in visies. Deze zijn bedoeld om te zorgen voor sociale cohesie en om de werknemers te helpen

begrijpen welk gedrag van ze verwacht wordt. Doordat gedragscodes effect hebben, moeten deze omarmd worden door alle werknemers.

2. Belonen op groepsbasis

Het belonen op basis van de door de groep behaalde resultaten kan cultural control stimuleren. Dit kan bijvoorbeeld in de vorm van bonussen of winstdeling. Belonen op groepsbasis ten opzichte van individuele werknemers zoals bij results controls is dat de relatie tussen ondernemingsprestaties en beoordeelde resultaten sterker is. Wanneer de groep als geheel beloond wordt, stimuleert dit de communicatie en is de kans kleiner dat individuele doelen voor ondernemingsdoelen gesteld worden.

3. Verplaatsen van werknemers en managers binnen de onderneming

Door werknemers en managers te verplaatsen, kan de cultuur worden

overgedragen naar andere afdelingen binnen de onderneming. Dit verkleint de kans op tegengestelde doelen en belangen van verschillende afdelingen.

4. Fysieke en sociale indeling

De fysieke indeling zoals de architectuur en de sociale indeling zoals een dress-code en vakjargon dragen bij aan de organisatiecultuur.

5. Tone at the top

Het gedrag van het topmanagement heeft invloed op de cultuur binnen de

onderneming. Daarom dient het topmanagement zich te gedragen naar de gewenste cultuur (voorbeeldgedrag).

32

De vier controls hebben dus als doel om de werknemers te laten handelen in het belang van de onderneming. Hierbij zijn de controls grofweg in te delen in twee groepen (Merchant, K.A. en Stede, W.A. van der, 2007). Enerzijds zijn er de traditionele regels en procedures en taken zoals die gebruikt worden bij de results en action controls. Anderzijds wordt het handelen van de werknemers beheerst door zelf- en groepssturing zoals dat wordt bereikt met cultural en personnel controls. Zelf- en groepssturing hebben grote voordelen ten opzichte van het opleggen van regels en procedures, maar zijn wel moeilijker te

implementeren. Hoe sterker bijvoorbeeld de cultuur is, hoe minder noodzakelijk de meer gedetailleerde procedures en regels zijn (Merchant, K.A. en Stede, W.A. van der, 2007). Ook leveren ze minder disfunctionele effecten op ten opzichte van action and results controls.

3.6 Vergelijking Fundamentele theorieën

In dit hoofdstuk zijn verschillende fundamentele theorieën opgenomen. In deze paragraaf wordt een schets gegeven van de overeenkomsten tussen deze onderzoekers in relatie tot het beoordelen van de interne beheersomgeving.

Er zijn twee opvallendheden te benoemen als gekeken wordt naar overeenkomsten tussen de verschillende onderzoeken:

1. De combinatie van verschillende benaderingen is een voorwaarde voor een goed werkend interne beheersomgeving. Alle in dit hoofdstuk genoemde onderzoekers zijn het met elkaar eens dat met alleen (harde) formele regels geen fundamentele basis gelegd kan worden voor de interne beheersomgeving. Daarnaast geldt dit ook voor de andere beheersmaatregelen, gebaseerd op cultuur en persoonlijkheid (soft), dat deze niet werken zonder formele regels.

2. Een andere overeenkomst tussen de verschillende onderzoekers is dat geprobeerd wordt om het gedrag van de werknemers op een dusdanige manier te beïnvloeden, dat de ondernemingsdoelen gehaald worden.

Waar de scheiding precies ligt tussen soft en hard, is niet precies te zeggen met behulp van de onderzoekers in dit hoofdstuk. De cultural controls van Merchant en Van der Stede

33

met als doel dat werknemers samenwerken op een energieke en gecoördineerde manier. In eerste instantie klinkt dit als een softe benadering. Echter om de cultuur vorm te geven binnen de organisatie worden vijf methoden genoemd om dit te bereiken, waaronder de invoering van een gedragscode, het belonen op groepsbasis, het verplaatsen van

werknemers en managers binnen de onderneming en de fysieke en sociale indeling. Strikt bekeken zijn dit allemaal vormen van hard controls, want het gaat hier om de structuur en formele regels die gelden binnen de onderneming. Zijn cultural controls hiermee een voorbeeld van soft controls, hard controls of een combinatie tussen beiden?

Omdat er altijd discussie zal blijven bestaan waar de grens precies ligt, wordt in de rest van het onderzoek geen onderscheid meer gemaakt tussen hard en soft. Het doel om het gewenste gedrag te bereiken wordt, zoals de verschillende onderzoeken uitwijzen, bereikt door de combinatie tussen de verschillende methoden. Hierbij is het wel van belang dat de verschillende methoden elkaar niet tegenwerken. Taylor beschrijft dit als ‘walk the talk’, waarbij de organisatie drie bronnen consistent moet inrichten om het gewenste gedrag te bereiken. Voor dit onderzoek wordt deze theorie gebruikt om tot een nieuwe definitie te komen. Hiervoor is gekozen omdat deze theorie op een begrijpelijke manier in kaart kan brengen wat er daadwerkelijk belangrijk wordt bevonden binnen een organisatie door middel van de samenhang tussen de drie componenten (behaviour, symbols en systems). In de onderstaande tabel zijn de overeenkomsten tussen de verschillende onderzoekers verwerkt. Hierbij zijn drie componenten benoemd waarin de verschillende controls of benaderingen van de verschillende onderzoekers zijn ingedeeld in lijn met Taylor. De verschillende controls of benaderingen zijn zo nauwkeurig mogelijk ingedeeld op basis van de omschrijving uit de literatuur. Omdat de grens niet zwart-wit is, zou het voor kunnen komen dat een control of benadering ook in een ander component ingedeeld zou kunnen worden. Daarbij is van belang dat de drie componenten op een goede manier moeten om het juiste gedrag te bewerkstelligen.

34

Tabel 3.1 Gemeenschappelijke componenten

Tabel Gemeenschappelijke componenten

Onderzoeker Cultuur Gedragingen Leiderschapsstijl Regels Structuren Systemen Intrinsieke motivatie Besluiten Marktinvloeden

Taylor Behaviour Systems Symbols

Hopwood Social control Administrative control Self control

Lebas en Wagenstein

Culture Rules Market approach

Simons Belief systems Diagnostic control, Boundary systems

Interactive control systems

Merchant en Van der Stede

Cultural Controls Action controls, Results controls

Personnel controls

De verschillende controls of benaderingen van de verschillende onderzoekers zijn

onderverdeeld onder drie verschillende componenten. Deze verdeling is op deze manier samengesteld omdat op deze manier een vergelijking kan plaatsvinden tussen de

onderzoekers. Hieronder worden de drie componenten nader toegelicht: 1. Cultuur, gedragingen, leiderschapsstijl

In het eerste component worden de waarden binnen een organisatie tot uitdrukking gebracht. Dit kan gezien worden als de kern van de interne beheersomgeving, zoals deze is gedefinieerd door COSO. De leiderschapsteil is hierin ook meegenomen, waarbij voorbeeldgedrag een belangrijke bijdrage levert ten aanzien van de betrouwbaarheid van informatie.

2. Regels, structuren, systemen

De bedoeling van deze regels, structuren en systemen is het managen van mensen en taken. Dit component is het duidelijkst aanwezig, omdat dit vaak formeel vast ligt, of

35

gemakkelijk te zien is. Regels, structuren zijn nodig, maar hiervan is vaak teveel aanwezig.

3. Intrinsieke motivatie, marktinvloeden, besluiten

De vergelijking van het derde component binnen de verschillende onderzoekers is het moeilijkst, omdat de verschillende onderzoekers hier verschillen qua insteek. In het onderzoek van Hopwood wordt self-control genoemd als control waarbij werknemers de intrinsieke motivatie vinden om zich op een bepaalde manier te gedragen. Ook Simons en Merchant en Van der Stede gebruiken de intrinsieke motivatie van medewerkers als uitgangspunt. Bij Lebas en Wagenstein geven de invloeden van de markt een signaal af over het functioneren van de organisatie. Als laatste noemt Taylor de beslissingen die binnen het bedrijf genomen worden. Deze geven namelijk aan wat echt belangrijk wordt bevonden binnen de organisatie. Wat betreft het derde component wordt in dit onderzoek verder uitgegaan van de wijze waarop Taylor dit omschrijft. Hiervoor is gekozen omdat de intrinsieke motivatie uiteindelijk het doel kan zijn van de gecombineerde drie componenten. Daarnaast is de omschrijving van Taylor meer omvattend is dan de andere onderzoekers. Niet elke organisatie heeft namelijk als doel om werknemers zoveel mogelijk intrinsiek te motiveren. Afhankelijk van de strategie besteedt het management haar geld en tijd. Wanneer bijvoorbeeld veel trainingen worden georganiseerd voor de werknemers, zorgt het management ervoor dat de werknemers hun taken uiteindelijk beter kunnen uitvoeren en hierdoor gemotiveerder worden.

De market approach van Lebas en Wagenstein heeft in vergelijking met de andere vier onderzoekers een afwijkende aanpak. Wanneer uit de markt blijkt dat het management op een andere manier moet opereren, kan dit het beste in de strategie worden bepaald. De strategie is namelijk de basis voor alle drie de componenten, die ook alle drie moeten worden afgestemd op de strategie. In de market approach wordt dit verband niet direct gelegd. Daarom wordt in dit onderzoek de market approach niet meegenomen in de nieuwe, voor dit onderzoek werkbare definitie.

36

3.7 Conclusie: een nieuwe definitie

In dit hoofdstuk zijn vijf fundamentele onderzoeken vergeleken. Hierbij zijn drie

componenten geformuleerd, waarin de verschillende benaderingen zijn ingedeeld. Deze drie componenten zijn:

1. Gedragingen, cultuur, leiderschapstijl 2. Regels, structuren en systemen

3. Intrinsieke motivatie, besluiten en marktinvloeden

Uit de combinatie van deze benaderingen is hieronder een nieuwe, voor dit onderzoek werkbare definitie geformuleerd.

Voor dit onderzoek is ervoor gekozen om het onderscheid tussen soft- en hard controls los te laten. Het gaat om het beheersen van gedrag, daarom is behaviour control een logischere benaming. Bovendien zorgt deze definitie voor minder verwarring. De drie componenten zorgen voor een kader waarbinnen het (gewenste) gedrag plaatsvindt. Om het gedrag te beheersen, is het van belang dat deze drie componenten consistent zijn met elkaar en dat deze aansluiten met de doelen van de organisatie. Daarom is de volgende definitie

samengesteld: Behaviour control:

Behaviour control is het kader waarbinnen gedragingen, structuren en besluiten in samenhang zorgen voor het voor de organisatie gewenste gedrag, waardoor met een grotere mate van zekerheid de ondernemingsdoelen gehaald worden.

37

Hoofdstuk 4 Assurance over behaviour control

Het vorige hoofdstuk heeft geresulteerd in een nieuwe definitie: behaviour control. Hierbij is de samenhangende werking van de drie componenten ‘gedragingen, structuren en

besluiten’ van belang voor het creëren van het door de organisatie gewenste gedrag, zodat met grotere mate van zekerheid de doelstellingen gehaald worden. In dit hoofdstuk wordt antwoord gegeven op de derde en vierde deelvraag. Deze vragen zijn:

- In hoeverre bestaat er behoefte aan assurance over gedragsmatige aspecten van interne beheersing?

- In hoeverre kan er assurance worden verleend over gedragsmatige aspecten van interne beheersing, op basis van een verkenning van de elementen?

Het verlenen van assurance door de accountant kan verklaard worden aan de hand van de ‘agency theorie’ (Jensen en Meckling, 1976). Deze theorie beschrijft het probleem dat van de scheiding tussen de eigenaren (aandeelhouders) en leiding van een organisatie. Het

probleem dat zich hierbij voordoet is te beschrijven als de belangentegenstelling tussen de leiding en de eigenaren. Inherent aan de scheiding tussen de leiding en eigendom, is het risico dat bestuurders niet handelen in het belang van de aandeelhouders, maar in hun eigen (economische) belang. De rol van de accountant hierin is om als onafhankelijke

tussenpersoon de betrouwbaarheid van de door de leiding verstrekte informatie te

onderzoeken. Het bestaansrecht van de accountant kan worden verkaard door de behoefte aan een onafhankelijke persoon, die kan bevestigen dat de informatie die de leiding

verstrekt, in een redelijke of beperkte mate overeenkomt met de werkelijkheid. Met andere woorden geeft de accountant zekerheid over de betrouwbaarheid van de verstrekte

informatie aan de gebruikers hiervan.

Deze ‘geruststelling’ vraagt natuurlijk om vertrouwen, in onafhankelijkheid van de opdrachtgever, in de deskundigheid en de zorgvuldigheid waarmee het onderzoek is uitgevoerd, en in de integriteit en de objectiviteit van het oordeel, dat ook in alle

duidelijkheid moet worden afgegeven (Blokdijk, 2010). Om te zorgen dat dit vertrouwen niet wordt aangetast, geeft de beroepsgroep een beschouwing van het geven van assurance in het zogeheten ‘stramien voor assurance-opdrachten’. In paragraaf 4.1 wordt een

38

uiteenzetting van dit ‘stramien’ gegeven. Vervolgens wordt in paragraaf 4.2 bekeken in hoeverre er behoefte bestaat aan assurance over gedragsmatige aspecten van interne beheersing. In paragraaf 4.3 wordt behandeld in hoeverre er assurance kan worden verleend over gedragsmatige aspecten van interne beheersing. In deze paragraaf wordt tevens

bekeken of het mogelijk is om een bestaand model in te richten naar de componenten van behaviour control. Dit model met ‘entity-level controls’, is ontwikkeld als minimale lijst van controls waar een beursgenoteerde onderneming aan moet voldoen als voorwaarde voor een goede interne beheersing. Vervolgens wordt in de conclusie antwoord gegeven op de in dit hoofdstuk behandelde deelvragen.

4.1 Stramien voor assurance-opdrachten

Het stramien voor assurance-opdrachten, afkomstig uit de Handleiding Regelgeving Accountancy (HRA), bepaalt en omschrijft de elementen en doelstellingen van een assurance-opdracht. Daarmee kan het stramien gezien worden als de kapstok voor alle assurance-werkzaamheden. De definitie en doelstelling van een assurance opdracht wordt als volgt geformuleerd in het stramien (NIVRA, Koninklijk, 2010b):

Een ‘assurance-opdracht’ is een opdracht waarbij een accountant een conclusie formuleert die is bedoeld om het vertrouwen van de beoogde gebruikers, niet zijnde de

verantwoordelijke partij, in de uitkomst van de evaluatie van of de toetsing van het object van onderzoek ten opzichte van de criteria, te versterken.

In de definitie worden een aantal samenhangende onderdelen benoemd. Er is alleen sprake van een assurance-opdracht wanneer aan alle van de volgende onderdelen wordt voldaan:

- er betrokkenheid is van drie partijen; - er een geschikt object van onderzoek is;

- er criteria zijn waaraan het object getoetst kan worden; - er voldoende en geschikte informatie beschikbaar is en - er een schriftelijk assurance-rapport is.

39

4.1.1 Betrokkenheid van drie partrijen

Bij een assurance-opdracht dienen drie partijen betrokken te zijn, namelijk een accountant, een verantwoordelijke partij en de beoogde gebruikers. De basis van een

assurance-opdracht is dat iemand verantwoording wil of moet afleggen aan een ander. De accountant is diegene die het assurance-rapport opstelt. Hierbij is het mogelijk dat de beoogde

gebruikers en de verantwoordelijke partij tot dezelfde entiteit behoren. Zo kan de Raad van Commissarissen zekerheid willen verkrijgen van de Raad van Bestuur van een entiteit.

4.1.2 Object van onderzoek

Volgens het stramien is een geschikt object van onderzoek identificeerbaar en kan het op eenduidige wijze worden geëvalueerd of worden getoetst aan de vastgestelde criteria. Daarnaast dient het object van zodanige aard te zijn dat de informatie daarover

onderworpen kan worden aan procedures voor het verzamelen van toereikende informatie om een conclusie met een redelijke mate of, indien van toepassing, met een beperkte mate van zekerheid te onderbouwen.

4.1.3 Criteria

Criteria zijn de normen die worden gebruikt voor het evalueren of toetsen van het object van onderzoek. Enerzijds kunnen normen formeel zijn vastgelegd in bijvoorbeeld wet- en regelgeving, zoals Titel 9 Boek 2 BW. Anderzijds kunnen normen specifiek zijn ontwikkeld ten behoeve van de opdracht. De normen die gehanteerd worden in het kader van dit

onderzoek zullen afhankelijk zijn van de situatie en de gestelde doelen in de strategie, dus specifiek ontwikkeld voor de organisatie. Een vereiste is dat deze normen toepasbaar zijn, zodat het object van onderzoek op consistente wijze geëvalueerd of getoetst kan worden. Zonder referentiekader laat elke conclusie de mogelijkheid open voor eigen interpretatie en zorgt daardoor voor misverstand. De criteria moeten daarom voldoen aan de volgende kenmerken:

a. relevantie: relevante criteria dragen bij aan het trekken van conclusies die de besluitvorming van de beoogde gebruikers ondersteunen;