Dit boek gaat over soft controls en richt zich op de vraag wat soft controls zijn en hoe managers, controllers maar vooral ook ope-

Vergelijkbare documenten
VERANTWOORD ONDERNEMEN IS MEETBAAR

Medewerker administratieve processen en systemen

Nota Risicomanagement en weerstandsvermogen BghU 2018

CONTROLSTATUUT WOONSTICHTING SSW

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Functieprofiel Beleidsadviseur Functieprofiel titel Functiecode 00

Functieprofiel: Adviseur Functiecode: 0303

GOVERNANCE, RISK & COMPLIANCE WHITEPAPER

KWALITEIT 1 SITUATIE 2 TEST

Leren uit het buitenland Risicomanagement en interne audit bij de Nederlandse Rijksoverheid.

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

1. FORMAT PLAN VAN AANPAK

Het belang van risicomanagement voor maatschappelijke organisaties Beheersing of buikpijn?

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent

Risicomanagement en Weerstandsvermogen

WHITEPAPER Nl-ANALYSE

Commitment without understanding is a liability

Prestatiebeloning werkt nauwelijks, maar prestatieafstemming

IT Beleid Bijlage R bij ABTN

Internal Audit Charter

Inspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016

Hierbij sturen wij u de concept Principes Interne Beheersing.

Governance. Informatiemanagement. Architectuur. Gemeenschappelijk

Praktijkplein Titel: Toepassing: Koppeling met het Operational Excellence Framework: Implementatiemethodieken: ontwerpen en ontwikkelen.

Bekend zijn met de visie en inzet van procesmanagement in de eigen organisatie.

Risicomanagement voor het MKB. Remko Renes Ruud Snoeker

Resultaatgericht werken

Systeemvisie op Organisatie en Management

HRM SCORECARD. PRESENTATIE/WORKSHOP WATCH-Consultancy in samenwerking met REEF/deelt kennis Woensdag 17 november 2010

IN ZES STAPPEN MVO IMPLEMENTEREN IN UW KWALITEITSSYSTEEM

Asset Management gemeente SWF in het kort. Aanleiding Risico Gestuurd Asset Management. Aanpak Risico Gestuurd Asset Management

Audits van de Toekomst

Toeleg Meedoen & Samenwerken in Breda

1 Audits van de Toekomst; een stap dichterbij

Verschillen en overeenkomsten tussen SOx en SAS 70

AuditchArter VAn het AGentSchAp Audit VLAAnderen 1 / 9

Handreiking zelfevaluatie functioneren van het bestuur

Leidraad PLAN VAN AANPAK OP WEG NAAR EEN CERTIFICEERBAAR KWALITEITSMANAGEMENTSYSTEEM

Functieprofiel: Teamleider Functiecode: 0203

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance

Functieprofiel: Controller Functiecode: 0304

Gezocht: Krachtige Stafmanager Financiën en Bedrijfsvoering. Voel jij je aangetrokken tot de dynamische ontwikkelingen binnen Primair Onderwijs?

Planning & Control. Inleiding. Inhoudsopgave

Arbo- en Milieudeskundige

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars!

Inhoudsopgave. Inleiding 4. Programma 5. Module Management Accounting & Control 5. Module Externe Verslaggeving 6

CONTROLSTATUUT STICHTING ANTARES WOONSERVICE

Functieprofiel: Arbo- en Milieucoördinator Functiecode: 0705

AVS-Congres. Leiders voor de toekomst

Hoofdstuk 1 Inleiding 2

Digitale Walvisgeluiden najaar 2010

Aan de raad van de gemeente Lingewaard

Regelloos en toch in control?

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Functieprofiel: Directeur Service Eenheid Functiecode: 0206

Functieprofiel: Manager Functiecode: 0202

Alles onder controle met pro

CERTIFICERING NEN 7510

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Technisch projectmedewerker

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Leergang Leiderschap voor Professionals

Visie en Strategie van pensioenfondsen: voorbereid op de toekomst!

Energie management Actieplan

Baten-lastenstelsel In 2006 gaat het OM over op het baten-lastenstelsel. AEF adviseert het OM bij de invoering hiervan.

6 DIAGNOSTICEREN VAN PROCESSEN PPI-MODEL

DNB Pensioenseminar. Parallelsessie Beleggingen. 21 september 2011

Investeringsstatuut Wonen Midden-Delfland

LoopbaanIndicator. Voor een duurzame loopbaanplanning

Interne audittraining

SPECIFIEK ONDERZOEK MBO Tweede fase: Kwaliteit examinering en diplomering

Digitale Walvisgeluiden najaar 2010

Een vragenlijst voor de Empowerende Omgeving

Doel. Context VSNU UFO/INDELINGSINSTRUMENT FUNCTIEFAMILIE MANAGEMENT & BESTUURSONDERSTEUNING DIRECTEUR BEDRIJFSVOERING VERSIE 3 APRIL 2017

Controlstatuut Havensteder

Figuur 1 Model Operational Excellence

DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014

Whitepaper. Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Compliance Management

De controller met ICT competenties

Programma. Startvraag. Monitor maart

Beloningsbeleid Januari 2012

SERVICECODE AMSTERDAM

EFQM model theoretisch kader

Aanpak projectaudits

Internal audit draagt bij aan comfort van commissarissen

Projectmanagement De rol van een stuurgroep

Charco & Dique. De auditfunctie bij trustkantoren. Risk Management & Compliance

Conclusie: voor elke organisatie die dit nastreeft is het goed besturen en beheersen van de bedrijfsprocessen

1 Wat zijn interne audits?

Dashboard module Klachtenmanagement 2012

P&O-adviseur. Context. Doel

Beleids- en BeheersCyclus. Cursus beleidsplanning, -monitoring en evaluatie: Inleidend hoofdstuk

Terug naar de bedoeling met ISO 9001:2015

Basisnormen integriteitsbeleid openbaar bestuur en politie

Kwaliteitszorg met behulp van het INK-model.

Reglement Bestuur HOOFDSTUK 1 ALGEMEEN

Leeftijdbewust personeelsbeleid Ingrediënten voor een plan van aanpak

Liesbeth Baartman & Raymond Kloppenburg, Hogeschool Utrecht, januari 2013

Nederlandse werkgevers en duurzame inzetbaarheid

Transcriptie:

In het nabije verleden grepen managers veelal bewust of onbewust naar de hardere aspecten van de bedrijfsvoering. De inzichten veranderen evenwel: steeds duidelijker wordt dat de zachte aspecten van de organisatie en bedrijfsvoering een niet te verwaarlozen rol spelen bij besturings- en inrichtingsvraagstukken. Hoe soft controls beoordeeld kunnen worden, is een belangrijk auditvraagstuk voor de komende tijd. HOOFDSTUK 1 INLEIDING Soft controls zijn hard nodig. Soft controls vormen een onlosmakelijk onderdeel van de set beheersingsmaatregelen die het management treft om zeker te stellen dat de organisatiedoelstellingen worden gerealiseerd. Niet altijd is het management zich echter bewust van de aanwezigheid van soft controls of de wijze waarop soft controls de realisatie van de organisatiedoelstellingen kunnen beïnvloeden. Intuïtief worden vaak wel goede maatregelen getroffen. Maar de vraag is of de gehele set maatregelen voldoet en voldoende aansluit bij de strategie, doelstellingen en aard van de organisatie. De manager van vandaag kan echter niet om soft controls heen. Daarmee komen soft controls ook in beeld voor de controller en de (internal of operational) auditor. 1 Deze spelen immers een rol bij het inrichten en evalueren of beoordelen van de door het management getroffen set beheersingsmaatregelen. Dit boek gaat over soft controls en richt zich op de vraag wat soft controls zijn en hoe managers, controllers maar vooral ook ope- 1 Wanneer in dit boek gesproken wordt over operational auditor, dan bedoelen we daar ook mee de internal auditor. 9

rational auditors soft controls kunnen benaderen en deze een plaats kunnen geven in de complexiteit van bedrijfsvoeringsvraagstukken. Daarnaast tracht dit boek operational auditors een praktische handreiking te bieden voor het ontwerpen van een mogelijk referentiemodel om soft controls te identificeren en te beoordelen. Inzichten in soft controls Hard controls zijn objectiever en betrouwbaarder te plaatsen en te toetsen. In het nabije verleden liepen managers met een grote boog om soft controls heen. Men greep veelal bewust of onbewust naar de hardere aspecten van de bedrijfsvoering (sturing en beheersing). De zogenaamde hard controls zijn door hun concreetheid en aanwijsbare resultaten objectiever en betrouwbaarder te plaatsen en te toetsen. De inzichten veranderen: met de komst van internationale rapporten zoals COSO 2, COCO en in mindere mate Cadbury is steeds meer duidelijk gemaakt dat de zachte aspecten van de organisatie en bedrijfsvoering een niet te verwaarlozen rol spelen bij de besturingsen inrichtingsvraagstukken. Uit het COSO-onderzoek bleek bijvoorbeeld al dat juist de meer ongrijpbare elementen zoals cultuur, managementstijl, vertrouwen en normen en waarden vaak ten grondslag kunnen liggen aan de beheersingsproblematiek binnen organisaties en veel minder vaak de hardere elementen zoals de bestuurlijke informatievoorziening of de (betrouwbaarheid van de) financiële huishouding. Een andere ontwikkeling die bijdraagt aan de toenemende belangstelling voor soft controls is de toepassing van nieuwe technologieën in organisaties (verdergaande automatisering en informatisering). Als gevolg van deze ontwikkelingen worden kritische beslissingen bij meerdere personen binnen organisaties gelegd (Roth, 1998). Dit 2 Commitee of Sponsoring Organizations of the Treadway Commission (COSO), Excutive Summary, september 1992. 10

betekent dat bestaande structuren en procedures minder relevant worden en vormen van empowerment steeds meer aan de orde zijn. Empowerment houdt in dat machtsstructuren in organisaties zich wijzigen in de richting van wat in het jargon verplatting van de organisatie wordt genoemd. Dit impliceert een verregaande delegatie van bevoegdheden en het stimuleren van samenwerkingsvormen van medewerkers in bijvoorbeeld zelfsturende teams (Begemann, 1996). Daarnaast maakt de nieuwe informatietechnologie ook het inbouwen van zogenoemde hard controls in systemen mogelijk, waardoor de aandacht van de operational auditors zich meer kan richten op het evalueren en beoordelen van de soft controls binnen organisaties. Bestaande structuren en procedures worden minder relevant. Betekenis van soft controls Overigens moet door het bovenstaande niet de indruk worden gewekt dat organisaties louter kunnen functioneren door soft controls en de ontwikkelingen op dit gebied het bestaan van hard controls overbodig maakt. Evenmin is het juist om te stellen dat er uitsluitend soft controls naast hard controls zijn. Alhoewel soft controls goed zijn te onderscheiden van hard controls, zijn hard en soft controls moeilijk van elkaar te scheiden en zien we in de praktijk vaak dat ze in elkaar overlopen. Hard controls kunnen niet zonder soft controls en omgekeerd. In de praktijk gaat het met name om het vinden van de juiste balans in bedrijfsvoering; de fit tussen hard en soft. Daarbij kunnen hard controls niet zonder soft controls of omgekeerd. In elk geval moet worden voorkomen dat in de set van de door het management getroffen beheersingsmaatregelen een zogenoemde misfit ontstaat. Door de bewustwording rond soft controls en de transparantie in de opzet en werking van soft controls te vergroten, kan het management worden geholpen bij het op juiste wijze hanteren van de tot zijn beschikking staande set beheersingsmaatregelen. Hierin speelt de operational auditor een belangrijke rol. 11

Overigens gaat het belang van soft controls verder dan dat voor de operational auditor. Soft controls hebben consequenties voor verschillende schakels in de managementcyclus, te weten de beleidsformulering, de inrichting en de toetsing. Daarmee vormen soft controls een aandachtsgebied voor zowel de manager, de controller als de operational auditor. De managementcyclus Bij het besturen en beheersen van organisaties staat het concept van de managementcyclus centraal Deze cyclus bestaat uit de stappen zoals weergegeven in figuur 1. Beleid formuleren Toetsen/ Evalueren Inrichten Uitvoeren Figuur 1. De managementcyclus Soft controls spelen een rol van betekenis in elke fase van de managementcyclus. Het vraagstuk van de opzet en werking van soft controls is met name gerelateerd aan de specifieke verantwoordelijkheden die het management, de controller en de operational auditor in de organisatie vervullen. Het is dan ook zinvol om de betekenis in dat perspectief te plaatsen. In het onderstaande wordt dit in het kort geïllustreerd bij de betreffende schakels uit de managementcyclus. 12

Beleid Beleid vormt in overwegende zin het aandachtsgebied van het (top)management van de organisatie. Deze schakel in de managementcyclus omvat: het voorbereiden, formuleren, vaststellen en prioriteren van het beleid, de strategie en de doelstellingen. Bij het ontwikkelen van nieuw beleid kunnen explicitering en ordening van de beheersingsmaatregelen ertoe bijdragen dat reeds in deze fase zicht ontstaat op de vanuit beheersingsoptiek kritische factoren voor een effectieve doelrealisatie. Vragen die in het kader van soft controls daarbij gesteld kunnen worden zijn: Welke zachte aspecten van de bedrijfsvoering dragen, naast de meer harde objectiveerbare aspecten, bij aan het succes van de onderneming en op welke wijze zijn deze aspecten verbonden aan het beleid en de processen van de organisatie? In de beleidsfase gaat het om het identificeren en onderkennen van zachte aspecten van bedrijfsvoering. Voorbeeld: In een organisatie met administratieve dienstverlening wordt een steeds groter deel van de te behandelen documenten door een computersysteem gesorteerd naar behandelwijze (massa- en maatwerk). De documenten die het systeem als maatwerk uitwerpt, worden voorzien van een formulier met een voorgeschreven behandelwijze. Medewerkers krijgen als gevolg van deze automatisering steeds meer het gevoel een verlengstuk te zijn van de machine. Steeds minder wordt er een beroep gedaan op hun professional judgement. Ze ervaren deze situatie als een verarming van hun werk; de bepaling van de behandelwijze is hen uit handen genomen en de werkdruk neemt toe doordat de werkstromen strakker zijn genormeerd. Er ontstaat weerstand tegen het selectiesysteem, medewerkers worden wantrouwend ten opzichte van de kwaliteit van de selectie, kiezen waar mogelijk een eigen weg, of haken gewoonweg af. In de geschetste situatie stuurt het management het proces steeds meer als massaproces aan (formulier met standaard behandelvoorschrift en productienormen). Feitelijk is het proces als zodanig nog steeds te typeren als maatwerk, waarin de kennis en professionaliteit van medewerkers kritisch zijn. Door deze benaderingswijze van het management voelen medewerkers zich niet meer aangesproken op 13

hun kennis en professionaliteit waardoor hun betrokkenheid bij het proces sterk afneemt. Hier is duidelijk sprake van een misfit tussen de getroffen beheersingsmaatregelen enerzijds en de maatregelen die vanuit de aard van het proces gewenst zijn. Voor het management wordt het langzamerhand duidelijk dat de betrokkenheid van de medewerkers sterk afneemt. Het management geeft de controller de opdracht om met voorstellen te komen om de misfit te herstellen, om daarmee de betrokkenheid van medewerkers te verbeteren. Inrichting In de inrichtingsfase gaat het om het treffen van de beheersingsmaatregelen zelf. Bij de inrichting gaat het veelal om het ontwerpen en implementeren van structuren, procedures en systemen in de organisatie. Hier komen we op het werkterrein van de controller. Waar het bij de beleidsformulering in hoofdzaak gaat om het identificeren en onderkennen van zachte aspecten van bedrijfsvoering (soft controls), gaat het bij het inrichten veel meer om het treffen van de beheersingsmaatregelen zelf. Daarbij komen direct de soft controls in beeld. De controller dient zich af te vragen welke beheersingsmaatregelen moeten worden getroffen gegeven de doelstellingen van het bedrijfsproces. Daarnaast kan de controller in beeld brengen of er voldoende condities of randvoorwaarden aanwezig zijn om effectieve beheersing (al dan niet met behulp van soft controls) mogelijk te maken. De controller speelt ook een rol in de bestuurlijke informatievoorziening; daarbij gaat hij na of de complete set van bestuurlijke informatie, kengetallen en prestatie-indicatoren voldoende aanknopingspunten bieden om zo nodig via de soft controls bij te sturen. Vervolg voorbeeld: De controller hiermee geconfronteerd bedenkt een aanpak om zowel het vertrouwen van de medewerkers in het selectiesysteem als de betrokkenheid te vergroten. Hij stelt aan het management voor om de volgende maatregelen te treffen: 14

medewerkers mogen vanaf nu bij toerbeurt participeren in een werkgroep die zich buigt over de (geautomatiseerde) selectieparameters; via een checklist wordt steekproefsgewijs aan medewerkers gevraagd wat zij vinden van de door het systeem voorgestelde behandelwijze; door meer functieroulatiemogelijkheden te creëren kunnen medewerkers ook frequenter switchen tussen functies; afgesproken wordt om na een jaar met de betrokken medewerkers in workshops het selectiesysteem te evalueren. Het management accordeert de voorstellen en vraagt de controller om periodiek te rapporteren over de voortgang en uitkomsten van de getroffen maatregelen. Uitvoering In de uitvoeringsfase gaat het met name om de daadwerkelijke toepassing van de ingestelde beheersingsmaatregelen (soft controls). In deze fase ligt een grote verantwoordelijkheid bij het management zelf. Het management moet erop toezien dat de voorgenomen maatregelen ook worden toegepast en uitgevoerd. Toetsing/evaluatie De scope van de toetsende en evaluerende schakel omvat de andere drie schakels uit de managementcyclus. Zowel het beleid, de inrichting als de uitvoering kunnen het object van de toetsing vormen. Bij de toetsing komt veelal de internal of operational auditor in beeld. De internal/operational auditor zal met name kijken naar de opzet/ inrichting en werking van het gehele complex aan beheersingsmaatregelen dat het management treft om zeker te stellen dat de organisatiedoelstellingen worden gerealiseerd. Gegeven de stelling dat soft controls deel uitmaken van de gehele set beheersingsmaatregelen, dient de operational auditor bij de beoordeling van de beheersingsmaatregelen de soft controls in de beoordeling mee te nemen. Zowel het beleid, de inrichting als de uitvoering kunnen object van toetsing zijn. 15

Het auditen van soft controls Meer specifiek op het auditvraagstuk van soft controls ontstaat de vraag hoe de zachte aspecten van organisatiebeheersing gezien moeten worden en op welke wijze de operational auditor deze kan evalueren en beoordelen. Hoe soft controls beoordeeld kunnen worden, is een belangrijk auditvraagstuk voor de komende tijd. Voor het auditen van soft controls bestaan in de praktijk nog weinig concrete aangrijpingspunten in de vorm van referentiemodellen of methodes om ze objectief te kunnen beoordelen. Dit probleem wordt met name veroorzaakt doordat het moeilijk is om soft controls te identificeren en het belang daarvan aan te geven. De methode van Control Self Assessment biedt aanknopingspunten voor het auditen van soft controls. Een mogelijke oplossing voor dit vraagstuk kan worden gezocht in de methodiek van Control Self Assessment (CSA). Hoewel CSA niet het onderwerp van dit boek vormt, kunnen we niet voorbijgaan aan de betekenis en inhoud die CSA krijgt in discussies rond soft controls. CSA kan worden gedefinieerd als een formeel, gedocumenteerd proces waarbij het management en eventueel ook medewerkers die direct betrokken zijn bij een bedrijfsproces de effectiviteit daarvan beoordelen teneinde vast te stellen of de kans dat de bedrijfsdoelstellingen worden gerealiseerd voldoende gewaarborgd is (Jordan, 1995). Een wezenskenmerk van CSA is dat de evaluatie en beoordeling van de kwaliteit van de controls verschuiven van de operational auditor naar de auditee. Afhankelijk van de vorm waarin CSA wordt toegepast kan de operational auditor daar in meer of mindere mate een bijdrage aan leveren. De verschuiving van deze beoordeling naar de auditee roept enkele vragen op: 16

Is de auditee (medewerker of leidinggevende) deskundig genoeg om de beheersingsmaatregelen te beoordelen zonder dat er een referentiemodel expliciet voorhanden is? Heeft de auditee voldoende zicht op de vaak impliciete koers en doelstellingen van de organisatie en de daaruit afgeleide noodzakelijke beheersingsmaatregelen? In hoeverre kan de auditee sec als onafhankelijke beoordelaar gezien worden? In hoeverre zijn de objectiviteit van het onderzoek en de uitkomsten voldoende gewaarborgd? Deze vragen rond CSA vormen het startpunt voor onze zoektocht. Ontegenzeggelijk heeft CSA een aantal aantrekkelijke kanten. Deze verklaren ook grotendeels de sterke opkomst van dit instrument. Maar, kan de operational auditor voor het beoordelen van soft controls uitsluitend terugvallen op CSA of kan hij aansluiting vinden bij de reeds bestaande objectievere auditmethodieken naar de kwaliteit van de beheersingskaders? Met andere woorden: kunnen ook soft controls op grond van een vooraf gebouwd referentiemodel getoetst worden? Deze vraag staat centraal in dit boek. We gaan hierbij onder andere in op de volgende deelvragen: Wat zijn soft controls? Op welke manier onderscheiden ze zich van andere beheersingsmaatregelen? Op welke aspecten van de organisatie hebben soft controls betrekking? Welke aangrijpingspunten zijn er voor de operational auditor om soft controls te kunnen beoordelen? 17

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback