Auditen van softcontrols: Waar staan we? RO Masterclass Muel Kaptein 24 November 2016
Vragen voor dit gedeelte Wat zijn de ontwikkelingen op het gebied van het auditen van soft-controls? Wat doen organisaties zoal op het gebied van het auditen van soft-controls? Wat is een volwassenheidsmodel voor het auditen van soft-controls? Hoe kan dit model worden gebruikt om te bepalen waar we staan en naar toe willen? 2
1. De familie Behavioral controls Soft controls Social controls People controls Integrity controls Cultural controls. zijn de niet-tastbare gedragsbeïnvloedende factoren in een organisatie die van belang zijn voor realiseren van de doelen van de organisatie en eisen en verwachtingen van belanghebbenden. Human controls Climate controls Conduct drivers Informal controls 3
2. Recente ontwikkelingen In 34 van de 54 door DNB uitgevoerde onderzoeken brachten we essentiële risico s op het gebied van gedrag en cultuur aan het licht. In 63% van alle onderzochte gevallen was ingrijpen door de organisatie op korte en middellange termijn noodzakelijk. In veruit de meeste gevallen hebben de instellingen deze ingrepen vervolgens ook daadwerkelijk getroffen. 4
2. Recente ontwikkelingen 5
2. Recente ontwikkelingen Most boards agreed that they could be seeking more assurance on culture. There was also considerable agreement that audit, nominations, remuneration and risk committees could do more to support the board in addressing culture. Internal auditors will need to develop a broader set of skills than has been traditional, and place more emphasis on asking questions about why certain behaviours occur and understanding the pressures that are driving the behaviours. However, IA can suffer from a perception it is a backwater and is not always valued as highly by management. The credibility of IA is fundamental and it needs to be appropriately resourced. 6
2. Recente ontwikkelingen Internal audit cannot effectively assess culture without a profound and deep understanding of the organization s values and expected behaviors coupled with a thorough appreciation of how they influence the organization s priorities in relation to good governance, risk management, and control. Developing this understanding should be a group effort involving not only internal audit staff but also other applicable disciplines, especially compliance and ethics. 7
2. Recente ontwikkelingen In het overleg tussen het bestuur en de auditcommissie met de interne audit functie worden tevens onderwerpen geadresseerd die zien op de cultuur en het gedrag binnen de met de vennootschap verbonden onderneming. 8
2. Recente ontwikkelingen 9
2. Recente ontwikkelingen 10
3. Gehanteerde soft-controls NBA: Tone at the Top CG Code: > Openheid + aanspreekbaarheid Percentage van hoofden IAD s dat deze Soft-control als belangrijk voor eigen organisatie beschouwt 1 Tone at- the top 94% 2 Mogelijkheden om incidenten te rapporteren 70% 3 Integriteit van het bestuur 67% 4 Openheid om issues te bespreken 65% 5 Leiderschap 56% 6 Verantwoordelijkheidsbesef 52% 7 Voorbeeldgedrag van het middenmanagement 50% 8 Bewustzijn 41% 9 Vertrouwen 35% 10 Betrokkenheid en loyaliteit 33% 11
4. Wetenschappelijk onderzoek naar soft-controls Beheer + (Heeren ea, 2014) - Onethisch gedrag (Kaptein, 2011) Programma Klokkenluiden (Kaptein, 2011) + (Kaptein, 2009, 2010, 2015) + Medewerkersbetrokkenheid (Huhtala, 2011) + + + Hard-controls (Heeren ea, 2016) + Retentie (Kangas ea, 2015) Innovatie (Riivari, 2016) 12
4. Wetenschappelijk onderzoek: Voorbeeld Gezien het grote aantal onvolkomenheden (22, één minder dan vorig jaar) en de hardnekkigheid van de meeste daarvan, achten we het van groot belang dat het beheer verder op orde wordt gebracht. ARK (2011) 13
5. Waar staan we? 53% heeft auditing SCs als expliciet onderdeel opgenomen in eigen audit manual (KPMG, 2016) 14
5. Waar staan we? 40% van de respondenten geeft aan al soft controls audits uit te voeren; van de resterende 60% geeft een ruime meerderheid (59%) aan in de toekomst soft controls audits te willen gaan uitvoeren. Op basis van deze gegevens kan verwacht worden dat binnen nu en een aantal jaren 75% van de IAFs soft controls audits gaan uitvoeren. Wel uitvoering van soft controls audits: De helft van de IAFs die soft controls audits uitvoeren, onderzoekt gedrag en cultuur als een geïntegreerd onderdeel van audits, 11% voert specifieke audits uit op soft controls en een kwart voert zowel geïntegreerde als specifieke soft controls audits uit. 15
5. Waar staan we? 16
6. Volwassenheidsmodel IA Soft-controls 1. Initial 2. Infrastructure 3. Integrated 4. Managed 5. Optimizing I. Planning en methodologie SC staat in iemands jaarplan, maar is niet opgenomen in audit methodologie SC opgenomen in auditjaarplan en op onderdelen beschreven in audit methodologie. SC onderdeel van audit meerjarenplan en geïntegreerd in audit methodologie SC onderdeel van audit visiedocument en vast onderdeel van iedere audit en werkprogramma SC geïntegreerd in organisatie breed risicomanagement II. Scope SC worden ad hoc meegenomen in audit SC onderdeel van RCA SC onderdeel van hard controls testing SC object van audit in kader van procesoverstijgende thema s Auditen van SC selfassements van business III. Technieken Meegenomen in bestaande technieken Periodiek gebruik van gestandaardiseerde SC auditmethodieken, zoals interviewvragen, enquête en observatieprotocollen Periodiek gebruik van op maat gemaakte SC auditmethodieken Continu gebruik van SC auditmethodieken, zoals real-time dataanalyse Afwisselende mix aan audittechnieken wordt weloverwogen ingezet IV. Rapportage Vrijwillige en vrijblijvende mondelinge terugkoppeling van gebreken. Schriftelijke, vrijwillige en vrijblijvende rapportage over gebreken Verplichte en vrijblijvende schriftelijke rapportage over gebreken Verplichte schriftelijke rapportage over gebreken die meewegen in rating Verplichte schriftelijke (externe) rapportage over gebreken en kwaliteiten die meewegen in rating Eén auditor heeft cursus SC gevolgd Alle auditors hebben uniforme SC training gevolgd SC is onderdeel van permanente educatie, zowel kennis als vaardigheden SC is onderdeel van permanente educatie, zowel kennis als vaardigheden, waarop wordt getoetst en beoordeeld Auditors onderhouden uiteenlopende, specifieke SC-kennis en vaardigheden V. Kennis en vaardigheden. 17
Thank you! Muel Kaptein Partner KPMG Laan van Langerhuize 1, 1186 DS Amstelveen Tel + 31 (0)20 656 7794 Mob + 31 (0)6 51573611 kaptein.muel@kpmg.nl 2016 KPMG Accountants NV, alle rechten voorbehouden.