In het nabije verleden grepen managers veelal bewust of onbewust naar de hardere aspecten van de bedrijfsvoering. De inzichten veranderen evenwel: steeds duidelijker wordt dat de zachte aspecten van de organisatie en bedrijfsvoering een niet te verwaarlozen rol spelen bij besturings- en inrichtingsvraagstukken. Hoe soft controls beoordeeld kunnen worden, is een belangrijk auditvraagstuk voor de komende tijd. HOOFDSTUK 1 INLEIDING Soft controls zijn hard nodig. Soft controls vormen een onlosmakelijk onderdeel van de set beheersingsmaatregelen die het management treft om zeker te stellen dat de organisatiedoelstellingen worden gerealiseerd. Niet altijd is het management zich echter bewust van de aanwezigheid van soft controls of de wijze waarop soft controls de realisatie van de organisatiedoelstellingen kunnen beïnvloeden. Intuïtief worden vaak wel goede maatregelen getroffen. Maar de vraag is of de gehele set maatregelen voldoet en voldoende aansluit bij de strategie, doelstellingen en aard van de organisatie. De manager van vandaag kan echter niet om soft controls heen. Daarmee komen soft controls ook in beeld voor de controller en de (internal of operational) auditor. 1 Deze spelen immers een rol bij het inrichten en evalueren of beoordelen van de door het management getroffen set beheersingsmaatregelen. Dit boek gaat over soft controls en richt zich op de vraag wat soft controls zijn en hoe managers, controllers maar vooral ook ope- 1 Wanneer in dit boek gesproken wordt over operational auditor, dan bedoelen we daar ook mee de internal auditor. 9
rational auditors soft controls kunnen benaderen en deze een plaats kunnen geven in de complexiteit van bedrijfsvoeringsvraagstukken. Daarnaast tracht dit boek operational auditors een praktische handreiking te bieden voor het ontwerpen van een mogelijk referentiemodel om soft controls te identificeren en te beoordelen. Inzichten in soft controls Hard controls zijn objectiever en betrouwbaarder te plaatsen en te toetsen. In het nabije verleden liepen managers met een grote boog om soft controls heen. Men greep veelal bewust of onbewust naar de hardere aspecten van de bedrijfsvoering (sturing en beheersing). De zogenaamde hard controls zijn door hun concreetheid en aanwijsbare resultaten objectiever en betrouwbaarder te plaatsen en te toetsen. De inzichten veranderen: met de komst van internationale rapporten zoals COSO 2, COCO en in mindere mate Cadbury is steeds meer duidelijk gemaakt dat de zachte aspecten van de organisatie en bedrijfsvoering een niet te verwaarlozen rol spelen bij de besturingsen inrichtingsvraagstukken. Uit het COSO-onderzoek bleek bijvoorbeeld al dat juist de meer ongrijpbare elementen zoals cultuur, managementstijl, vertrouwen en normen en waarden vaak ten grondslag kunnen liggen aan de beheersingsproblematiek binnen organisaties en veel minder vaak de hardere elementen zoals de bestuurlijke informatievoorziening of de (betrouwbaarheid van de) financiële huishouding. Een andere ontwikkeling die bijdraagt aan de toenemende belangstelling voor soft controls is de toepassing van nieuwe technologieën in organisaties (verdergaande automatisering en informatisering). Als gevolg van deze ontwikkelingen worden kritische beslissingen bij meerdere personen binnen organisaties gelegd (Roth, 1998). Dit 2 Commitee of Sponsoring Organizations of the Treadway Commission (COSO), Excutive Summary, september 1992. 10
betekent dat bestaande structuren en procedures minder relevant worden en vormen van empowerment steeds meer aan de orde zijn. Empowerment houdt in dat machtsstructuren in organisaties zich wijzigen in de richting van wat in het jargon verplatting van de organisatie wordt genoemd. Dit impliceert een verregaande delegatie van bevoegdheden en het stimuleren van samenwerkingsvormen van medewerkers in bijvoorbeeld zelfsturende teams (Begemann, 1996). Daarnaast maakt de nieuwe informatietechnologie ook het inbouwen van zogenoemde hard controls in systemen mogelijk, waardoor de aandacht van de operational auditors zich meer kan richten op het evalueren en beoordelen van de soft controls binnen organisaties. Bestaande structuren en procedures worden minder relevant. Betekenis van soft controls Overigens moet door het bovenstaande niet de indruk worden gewekt dat organisaties louter kunnen functioneren door soft controls en de ontwikkelingen op dit gebied het bestaan van hard controls overbodig maakt. Evenmin is het juist om te stellen dat er uitsluitend soft controls naast hard controls zijn. Alhoewel soft controls goed zijn te onderscheiden van hard controls, zijn hard en soft controls moeilijk van elkaar te scheiden en zien we in de praktijk vaak dat ze in elkaar overlopen. Hard controls kunnen niet zonder soft controls en omgekeerd. In de praktijk gaat het met name om het vinden van de juiste balans in bedrijfsvoering; de fit tussen hard en soft. Daarbij kunnen hard controls niet zonder soft controls of omgekeerd. In elk geval moet worden voorkomen dat in de set van de door het management getroffen beheersingsmaatregelen een zogenoemde misfit ontstaat. Door de bewustwording rond soft controls en de transparantie in de opzet en werking van soft controls te vergroten, kan het management worden geholpen bij het op juiste wijze hanteren van de tot zijn beschikking staande set beheersingsmaatregelen. Hierin speelt de operational auditor een belangrijke rol. 11
Overigens gaat het belang van soft controls verder dan dat voor de operational auditor. Soft controls hebben consequenties voor verschillende schakels in de managementcyclus, te weten de beleidsformulering, de inrichting en de toetsing. Daarmee vormen soft controls een aandachtsgebied voor zowel de manager, de controller als de operational auditor. De managementcyclus Bij het besturen en beheersen van organisaties staat het concept van de managementcyclus centraal Deze cyclus bestaat uit de stappen zoals weergegeven in figuur 1. Beleid formuleren Toetsen/ Evalueren Inrichten Uitvoeren Figuur 1. De managementcyclus Soft controls spelen een rol van betekenis in elke fase van de managementcyclus. Het vraagstuk van de opzet en werking van soft controls is met name gerelateerd aan de specifieke verantwoordelijkheden die het management, de controller en de operational auditor in de organisatie vervullen. Het is dan ook zinvol om de betekenis in dat perspectief te plaatsen. In het onderstaande wordt dit in het kort geïllustreerd bij de betreffende schakels uit de managementcyclus. 12
Beleid Beleid vormt in overwegende zin het aandachtsgebied van het (top)management van de organisatie. Deze schakel in de managementcyclus omvat: het voorbereiden, formuleren, vaststellen en prioriteren van het beleid, de strategie en de doelstellingen. Bij het ontwikkelen van nieuw beleid kunnen explicitering en ordening van de beheersingsmaatregelen ertoe bijdragen dat reeds in deze fase zicht ontstaat op de vanuit beheersingsoptiek kritische factoren voor een effectieve doelrealisatie. Vragen die in het kader van soft controls daarbij gesteld kunnen worden zijn: Welke zachte aspecten van de bedrijfsvoering dragen, naast de meer harde objectiveerbare aspecten, bij aan het succes van de onderneming en op welke wijze zijn deze aspecten verbonden aan het beleid en de processen van de organisatie? In de beleidsfase gaat het om het identificeren en onderkennen van zachte aspecten van bedrijfsvoering. Voorbeeld: In een organisatie met administratieve dienstverlening wordt een steeds groter deel van de te behandelen documenten door een computersysteem gesorteerd naar behandelwijze (massa- en maatwerk). De documenten die het systeem als maatwerk uitwerpt, worden voorzien van een formulier met een voorgeschreven behandelwijze. Medewerkers krijgen als gevolg van deze automatisering steeds meer het gevoel een verlengstuk te zijn van de machine. Steeds minder wordt er een beroep gedaan op hun professional judgement. Ze ervaren deze situatie als een verarming van hun werk; de bepaling van de behandelwijze is hen uit handen genomen en de werkdruk neemt toe doordat de werkstromen strakker zijn genormeerd. Er ontstaat weerstand tegen het selectiesysteem, medewerkers worden wantrouwend ten opzichte van de kwaliteit van de selectie, kiezen waar mogelijk een eigen weg, of haken gewoonweg af. In de geschetste situatie stuurt het management het proces steeds meer als massaproces aan (formulier met standaard behandelvoorschrift en productienormen). Feitelijk is het proces als zodanig nog steeds te typeren als maatwerk, waarin de kennis en professionaliteit van medewerkers kritisch zijn. Door deze benaderingswijze van het management voelen medewerkers zich niet meer aangesproken op 13
hun kennis en professionaliteit waardoor hun betrokkenheid bij het proces sterk afneemt. Hier is duidelijk sprake van een misfit tussen de getroffen beheersingsmaatregelen enerzijds en de maatregelen die vanuit de aard van het proces gewenst zijn. Voor het management wordt het langzamerhand duidelijk dat de betrokkenheid van de medewerkers sterk afneemt. Het management geeft de controller de opdracht om met voorstellen te komen om de misfit te herstellen, om daarmee de betrokkenheid van medewerkers te verbeteren. Inrichting In de inrichtingsfase gaat het om het treffen van de beheersingsmaatregelen zelf. Bij de inrichting gaat het veelal om het ontwerpen en implementeren van structuren, procedures en systemen in de organisatie. Hier komen we op het werkterrein van de controller. Waar het bij de beleidsformulering in hoofdzaak gaat om het identificeren en onderkennen van zachte aspecten van bedrijfsvoering (soft controls), gaat het bij het inrichten veel meer om het treffen van de beheersingsmaatregelen zelf. Daarbij komen direct de soft controls in beeld. De controller dient zich af te vragen welke beheersingsmaatregelen moeten worden getroffen gegeven de doelstellingen van het bedrijfsproces. Daarnaast kan de controller in beeld brengen of er voldoende condities of randvoorwaarden aanwezig zijn om effectieve beheersing (al dan niet met behulp van soft controls) mogelijk te maken. De controller speelt ook een rol in de bestuurlijke informatievoorziening; daarbij gaat hij na of de complete set van bestuurlijke informatie, kengetallen en prestatie-indicatoren voldoende aanknopingspunten bieden om zo nodig via de soft controls bij te sturen. Vervolg voorbeeld: De controller hiermee geconfronteerd bedenkt een aanpak om zowel het vertrouwen van de medewerkers in het selectiesysteem als de betrokkenheid te vergroten. Hij stelt aan het management voor om de volgende maatregelen te treffen: 14
medewerkers mogen vanaf nu bij toerbeurt participeren in een werkgroep die zich buigt over de (geautomatiseerde) selectieparameters; via een checklist wordt steekproefsgewijs aan medewerkers gevraagd wat zij vinden van de door het systeem voorgestelde behandelwijze; door meer functieroulatiemogelijkheden te creëren kunnen medewerkers ook frequenter switchen tussen functies; afgesproken wordt om na een jaar met de betrokken medewerkers in workshops het selectiesysteem te evalueren. Het management accordeert de voorstellen en vraagt de controller om periodiek te rapporteren over de voortgang en uitkomsten van de getroffen maatregelen. Uitvoering In de uitvoeringsfase gaat het met name om de daadwerkelijke toepassing van de ingestelde beheersingsmaatregelen (soft controls). In deze fase ligt een grote verantwoordelijkheid bij het management zelf. Het management moet erop toezien dat de voorgenomen maatregelen ook worden toegepast en uitgevoerd. Toetsing/evaluatie De scope van de toetsende en evaluerende schakel omvat de andere drie schakels uit de managementcyclus. Zowel het beleid, de inrichting als de uitvoering kunnen het object van de toetsing vormen. Bij de toetsing komt veelal de internal of operational auditor in beeld. De internal/operational auditor zal met name kijken naar de opzet/ inrichting en werking van het gehele complex aan beheersingsmaatregelen dat het management treft om zeker te stellen dat de organisatiedoelstellingen worden gerealiseerd. Gegeven de stelling dat soft controls deel uitmaken van de gehele set beheersingsmaatregelen, dient de operational auditor bij de beoordeling van de beheersingsmaatregelen de soft controls in de beoordeling mee te nemen. Zowel het beleid, de inrichting als de uitvoering kunnen object van toetsing zijn. 15
Het auditen van soft controls Meer specifiek op het auditvraagstuk van soft controls ontstaat de vraag hoe de zachte aspecten van organisatiebeheersing gezien moeten worden en op welke wijze de operational auditor deze kan evalueren en beoordelen. Hoe soft controls beoordeeld kunnen worden, is een belangrijk auditvraagstuk voor de komende tijd. Voor het auditen van soft controls bestaan in de praktijk nog weinig concrete aangrijpingspunten in de vorm van referentiemodellen of methodes om ze objectief te kunnen beoordelen. Dit probleem wordt met name veroorzaakt doordat het moeilijk is om soft controls te identificeren en het belang daarvan aan te geven. De methode van Control Self Assessment biedt aanknopingspunten voor het auditen van soft controls. Een mogelijke oplossing voor dit vraagstuk kan worden gezocht in de methodiek van Control Self Assessment (CSA). Hoewel CSA niet het onderwerp van dit boek vormt, kunnen we niet voorbijgaan aan de betekenis en inhoud die CSA krijgt in discussies rond soft controls. CSA kan worden gedefinieerd als een formeel, gedocumenteerd proces waarbij het management en eventueel ook medewerkers die direct betrokken zijn bij een bedrijfsproces de effectiviteit daarvan beoordelen teneinde vast te stellen of de kans dat de bedrijfsdoelstellingen worden gerealiseerd voldoende gewaarborgd is (Jordan, 1995). Een wezenskenmerk van CSA is dat de evaluatie en beoordeling van de kwaliteit van de controls verschuiven van de operational auditor naar de auditee. Afhankelijk van de vorm waarin CSA wordt toegepast kan de operational auditor daar in meer of mindere mate een bijdrage aan leveren. De verschuiving van deze beoordeling naar de auditee roept enkele vragen op: 16
Is de auditee (medewerker of leidinggevende) deskundig genoeg om de beheersingsmaatregelen te beoordelen zonder dat er een referentiemodel expliciet voorhanden is? Heeft de auditee voldoende zicht op de vaak impliciete koers en doelstellingen van de organisatie en de daaruit afgeleide noodzakelijke beheersingsmaatregelen? In hoeverre kan de auditee sec als onafhankelijke beoordelaar gezien worden? In hoeverre zijn de objectiviteit van het onderzoek en de uitkomsten voldoende gewaarborgd? Deze vragen rond CSA vormen het startpunt voor onze zoektocht. Ontegenzeggelijk heeft CSA een aantal aantrekkelijke kanten. Deze verklaren ook grotendeels de sterke opkomst van dit instrument. Maar, kan de operational auditor voor het beoordelen van soft controls uitsluitend terugvallen op CSA of kan hij aansluiting vinden bij de reeds bestaande objectievere auditmethodieken naar de kwaliteit van de beheersingskaders? Met andere woorden: kunnen ook soft controls op grond van een vooraf gebouwd referentiemodel getoetst worden? Deze vraag staat centraal in dit boek. We gaan hierbij onder andere in op de volgende deelvragen: Wat zijn soft controls? Op welke manier onderscheiden ze zich van andere beheersingsmaatregelen? Op welke aspecten van de organisatie hebben soft controls betrekking? Welke aangrijpingspunten zijn er voor de operational auditor om soft controls te kunnen beoordelen? 17