Auditen van cultuur en gedrag: een overzicht

12-07-2018

Door: Peter Hartog en Linda Poort
Lees hier het mooi opgemaakte verslag 
Auditen van cultuur en gedrag: een overzicht - PDF

Soft controls, oftewel cultuur en gedrag, zijn belangrijk. Ze kunnen een grote impact hebben op een organisatie. Maar hoe doe je soft controls audits? Hoe zorg je ervoor dat je gedrag en cultuur kunt meten en beoordelen? De IIA Young Professionals organiseerden op 3 juli een event bij Nuon om een antwoord te vinden op deze vraag. Sprekers van KPMG, DNB en ACS deelden ieder op bevlogen wijze hun eigen inzichten.

“Soft controls zijn de niet-tastbare, gedragsbeïnvloedende factoren in een organisatie, die van belang zijn voor het realiseren van de doelen van de organisatie en de eisen en verwachtingen van de belanghebbenden,” aldus KPMG. Hoe jouw organisatie soft controls ook noemt, het gaat bij soft controls altijd om menselijk gedrag. “Het zit in de lucht, maar je kunt het niet beetpakken.” Je kunt het echter wél auditen!

Het feit dat er vrijwel tegelijkertijd diverse andere activiteiten plaatsvonden op het gebied van cultuur en gedrag, geeft aan dat het auditen van soft controls echt leeft in de beroepsgroep. Zo vonden op 28 juni de CAE Forum Roundtable over Soft Controls én de Masterclass Cultuuronderzoek voor Auditors (door corporate antropologe Danielle Braun) plaats. Het IIA werkt in samenwerking met NBA-LIO  bovendien aan een onderzoek naar de vraag in hoeverre cultuur en gedrag aan bod komen in het overleg tussen de internal auditfunctie en de auditcommissie.

Hieruit kunnen we concluderen dat het belangrijk is om als internal auditfunctie van elk formaat écht aandacht te besteden aan cultuur en gedrag. Een belangrijke vraag is nog wel hoe dat te doen. De genoemde events hebben daar allemaal aandacht aan besteed. De beste wijze van het auditen van soft controls kan per organisatie of situatie verschillen, maar er is een globaal algemeen kader af te leiden uit de diverse presentaties op het YP event en de masterclass.

Audits van soft controls verschillen in de mate waarin vooraf wordt gedefinieerd waar de audit zich op zal richten. Aan de ene kant zijn er de onderzoeken waarin bij de start van het onderzoek de optiek of het normenkader al concreet wordt benoemd. In de antropologie noemt men dat het cultuuronderzoek op basis van dimensies of typologieën. Deze vorm van onderzoek heeft als voordeel dat je snel en gericht aan de gang kunt, met een model dat zijn waarde al heeft bewezen, zoals bijvoorbeeld het door KPMG gepresenteerde model van Muel Kaptein. Omdat je vooraf definieert waar je wel (en dus ook niet) naar kijkt, is de keuze van het model wel erg belangrijk. Er zijn, zoals Danielle Braun ook aangaf, heel veel modellen beschikbaar, vooral vanuit de sociale wetenschappen.

Het risico van het gebruik van voorgedefinieerde modellen, zoals gebruikelijk in operational audits, is dat je niet alle relevante aspecten in beschouwing neemt. Dat risico wordt juist voorkomen in de andere aanpak, waarin je ‘zo open mogelijk door het veld loopt’. In deze onderzoeken zonder vastliggende normenkaders vooraf, wordt vanuit een bepaalde vraagstelling meer diepgaand ingezoomd op het gedrag en de achtergronden daarvan. Deze vorm van onderzoek kennen we als de traditionele antropologie, maar is ook de aanpak van behavioural auditing. Op zijn beurt heeft deze aanpak als risico dat je na veel tijd met veel ongestructureerde gegevens zit. Jan Otten geeft handvatten hoe dat te voorkomen.

Download de sheets van Danielle Braun
 

Soft controls: 2018, 2030 en morgen

Muel Kaptein en Huck Chuah

Muel Kaptein en Huck Chuah gaven een breed overzicht van de historie en het ‘waarom’ en ‘wat’ van soft controls. Het is nog maar 30 jaar geleden, in 1989, dat er een transitie plaatsvond van financiële audits naar operationele audits. Toen startte Arie Molenkamp bij KPMG met het opzetten van internal auditdienstverlening aan bedrijven. Ook zijn op dat moment de internal auditopleidingen pas gestart op de Erasmus en UvA. Soft controls zaten destijds niet in het curriculum.

Wat soft controls in internal audit een boost heeft gegeven, is de introductie van het wetenschappelijk gevalideerde model van Kaptein in 2005. Inmiddels zijn het model en soft controls niet meer weg te denken uit de praktijk, maar het kan nog steeds beter. Dus wat gaan we morgen doen met soft controls? En in 2030, wanneer de YP’s van nu wel eens CAE zouden kunnen zijn…?

Het is een vraag van veel auditors: hoe ga ik soft controls auditen? Is er een referentiemodel of zijn er dimensies, met een SOLL-IST positie? Kan ik als niet-gedragswetenschapper ook een dergelijke audit uitvoeren, bijvoorbeeld als auditor met een R-titel? Het antwoord is een volmondig ‘JA’.

De auditor beoordeelt in welke mate zijn organisatie erin slaagt om het proces of object en de daarmee samenhangende risico’s te beheersen. De auditor zal in de regel naar aanleiding van zijn bevindingen aanbevelingen geven over het terugdringen van risico’s. Risico’s die ontstaan doordat hard en soft controls niet effectief zijn. Je moet ze dus altijd in samenhang bekijken.

Uit IIA onderzoek in 2015 (Soft Controls: Aanknopingspunten voor internal audit) blijkt nagenoeg 80% van de IAF’s (referentie-)modellen te gebruiken in audits. De toegepaste modellen volgens de IAF’s zijn: KPMG (39%), eigen bedrijfswaarden (15%), het DNB Cultuurhuis (11% ), COSO (7%) of een combinatie hiervan (7%). Om te beginnen kun je voor het auditen van soft controls gebruikmaken van één van deze referentiemodellen. Deze modellen zijn concreet, consistent, eenvoudig, vergelijkbaar en altijd toe te passen.

Het is zaak daarbij het model aan te passen aan de specifieke bedrijfswaarden van de organisatie, om zo te komen tot een specifiek referentiemodel voor de audit. Zo kun je bijvoorbeeld per hard control kijken welke dimensies uit het model van Muel Kaptein essentieel zijn om de hard control effectief te laten werken. Of je kunt de unieke bedrijfswaarden van een organisatie vertalen naar de SC-dimensies en vervolgens een op maat gemaakt referentiemodel opbouwen. Zo maak je een audit naar cultuur en gedrag concreet.

De stappen die je in de komende tien jaar kunt zetten, kun je vervolgens gaan uitdenken. Wat is het lonkend perspectief? Waar gaan we naartoe? In de (nabije) toekomst zijn er andere soorten auditors nodig, zo kwam uit de discussie met de deelnemers aan het event naar voren.

  • Auditors die het lef hebben om afwijkende audits te doen.
  • Auditors met een achtergrond in de gedragswetenschap, psychologie en antropologie.
  • Auditors die het taboe op het auditen van soft controls en uitkomsten ervan kunnen doorprikken.
  • Auditors die proactief handelen op basis van prikkels vanuit de gehele organisatie.
  • Auditors die innovatieve ‘audits in één dag’ uitvoeren met kort cyclische memo’s of meer ‘agile’ technieken toepassen.
  • Auditors die minder toetsend zijn en meer inzichtgevend rapporteren.

Wat ga jij vandaag anders doen om morgen en in 2030 soft controls beter te auditen?

Download de sheets van Muel Kaptein en Huck Chuah
 

Toezicht Cultuur & Gedrag, de aanpak bij DNB

Moritz Römer

“Wat betreft toezicht op gedrag en cultuur zijn we nu al veel verder dan acht jaar geleden. Instellingen zijn al veel meer doordrongen van de relevantie en vinden het al normaler om daarnaar te kijken,” aldus organisatiepsycholoog Moritz Römer. “Wat drijft mensen dat ze doen wat ze doen? Wat zijn de risico’s? Wat zijn de krachten? Vanuit de crisis is een aantal lessen geleerd die toezicht op cultuur en gedrag wenselijk maken. Als de problemen in de cijfers zichtbaar worden, is het namelijk meestal al te laat om in te grijpen.” De stabiliteit kan dus in het geding komen en aangezien stabiliteit een doel is van De Nederlandsche Bank, is het kijken naar menselijk handelen en de factoren die dit beïnvloeden een taak van DNB. Vandaar dat DNB het toezicht op gedrag en cultuur in 2010 heeft ingericht.

Uitsluitend kijken naar de procedures en processen die instellingen hebben beschreven, is niet genoeg. Denk aan zogenaamde olifantenpaden waarbij mensen eigen routes kiezen die niet vanzelfsprekend gelijk zijn aan de paden die zijn aangelegd. Mensen zoeken hun eigen weg naast aangelegde structuren. Als er één is gegaan gaan anderen er sneller achteraan. Met het auditen van gedrag en cultuur wil je erachter komen: Hoe werkt het nou echt in deze organisatie? Welke paden bewandelen de mensen? En welke triggers en drives liggen hieraan ten grondslag? Het Expertisecentrum Governance, Cultuur & Gedrag van DNB gaat op zoek naar de olifantenpaden binnen een organisatie, en kijkt niet uitsluitend naar de aangelegde structuren, met als doel crises beter te voorspellen én misschien zelfs te voorkomen.

“Cultuur is te meten, je moet alleen een model kiezen.” Je moet helder kunnen maken wat de cultuur binnen jouw organisatie is. Als auditor zal je deze beschrijven: dit is wat wij zien. Daarna bepaal je: wat vinden wij hiervan een risico en wat is een kracht? Dit houdt je de organisatie als een spiegel voor: dit zien wij, wat denken jullie ervan? Een voorbeeld waar wij naar kijken is de manier waarop een organisatie omgaat met wangedrag. Als er in een organisatie wangedrag optreedt en je ontslaat de schuldigen, dan moet het niet daar stoppen. Want heb je er ook over nagedacht hoe het heeft kunnen gebeuren? Welke (culturele) factoren hebben het ontstaan van dat wangedrag bevorderd of in elk geval niet tegen gehouden? En hoe je kunt voorkomen dat het nog een keer gebeurt?

Op deze wijze heeft DNB al diverse onderwerpen onderzocht, zoals board effectiveness, cultuurveranderingen, integriteitsklimaat en strategische besluitvorming.

De aanpak van deze onderzoeken kent een aantal belangrijke kenmerken, onder andere:

  • Het gebruik van diverse methoden om data te verzamelen, waarna o.b.v. triangulatie de data wordt geanalyseerd en de gedragspatronen worden benoemd;
  • Een eerste rapportage in de vorm van een gesprek met de instelling, voorafgaande aan het formele rapport.

Op deze wijze leiden de onderzoeken tot een aantal interventies. Voorafgaand aan de gebruikelijke interventie van de follow-up van de verbeterpunten, zijn de interviews in de praktijk al een eerste interventie, doordat ze mensen tot denken aanzetten. Een tweede interventie vindt plaats in de vorm van feedback bij de eerste bespreking van de bevindingen.

Download de sheets van Moritz Römer
 

Behavioural Auditing

Jan Otten

“It is not about studying the organization as it is intended, but the organization as it is.” Boven het oppervlak heb je 'artefacts'. Dit zijn de zichtbare structuren, processen, systemen, etc. in de organisatie. Daaronder liggen de waarden en normen die worden nageleefd, zoals de strategie, doelstellingen, beleid en gedragscode. Waar het echter bij soft controls audits om draait, is de laag daar weer onder: de onderliggende aannames en mentale modellen, zoals onbewuste gedachten, overtuigingen, percepties en gevoelens. Wat je moet doen is de data naar boven krijgen. Je moet interviewen en observeren tot een kunst verheffen en zo de mentale modellen naar boven krijgen.

Schein maakte daartoe het volgende onderscheid, vergelijkbaar met de ijsberg die Moritz Römer presenteerde.

Het auditproces van een behavioural audit bestaat uit een aantal onderdelen:

Voorbereiding – Sensitizing concepts bieden een denkkader dat het vertrekpunt is voor je onderzoek. Deze geven richting zonder de weg voor te schrijven en dienen als hulpmiddel ter oriëntatie. Je vraagt echter alleen naar dingen waar men zelf over begint. De concepts zijn dus geen ‘auditvariabelen’ waarvan gericht de feitelijke situatie in kaart wordt gebracht. Sensitizing concepts worden tijdens de voorbereiding van het onderzoek ontwikkeld op basis van bijvoorbeeld een documentenonderzoek.

Dataverzameling – Je kunt gebruikmaken van focus group interviews en gedragsobservatie. In de interviews start je met de feitelijke gebeurtenissen (noticable results) en ga je, bijvoorbeeld met de inferentieladder, steeds dieper om de achtergronden van het gedrag te leren kennen.
Onthoudt hierbij: het moet je gegund worden. Je dient dus altijd te interviewen met empathie voor en interesse in de geïnterviewden, zoals ook Joris Luyendijk gloedvol aangaf tijdens het IIA Congres over zijn onderzoek naar de cultuur in de Londense bankwereld.

Dataverwerking – Het beste maak je gebruik van transcripties: volledig uitgeschreven interviews, op basis waarvan je via coderen zoekt naar relevante thema’s. Zo kun je georganiseerd concepten, bevindingen en conclusies op een rij zetten.

Rapportageronde 1 – Het is de verantwoordelijkheid van de auditor dat het auditrapport geaccepteerd wordt. Dit kun je voor elkaar krijgen door een narratief maken die is opgebouwd met quotes van alle geïnterviewden. Deze kun je vervolgens in een validatieworkshop aan ze voorleggen om ze te verduidelijken en zo nog beter te maken. Zo kan iedereen direct zeggen of het verhaal klopt en er betekenis aan geven.

Rapportageronde 2 – De tweede rapportageronde is het presenteren van het uiteindelijke auditrapport, bestaande uit de resultaten van de data-analyse, aangevuld met de resultaten van de validatieworkshop en een oordeel dat overeenkomt met de betekenis die in de validatieworkshop aan ‘het narratief’ is gegeven. Het doel hiervan is dat je auditresultaat niet zorgt voor hakken in het zand, maar dat het een inspiratie is voor positieve verandering.

Download de presentatie van Jan Otten
Download het gratis e-book Behavioural Auditing
 

Auditen van cultuur en gedrag: een samenvatting

Hoe onderzoek je soft controls? Het is duidelijk gebleken dat er verschillende mogelijkheden zijn in de soorten van onderzoek; welke zijn af te stemmen op de situatie en behoeften van de opdrachtgever. De gebruikelijke technieken verschillen eveneens, wat ook iets betekent voor de benodigde houding en vaardigheden.

In de figuur is met de pijlen aangegeven welke technieken afhankelijk van de aanpak gebruikelijk zijn.

In de audits waarin gebruik wordt gemaakt van een voorgedefinieerd referentiemodel, zijn de aanpak en technieken overwegend vergelijkbaar met de onderzoeken naar de hard controls; er wordt veelal gebruikgemaakt van (semi)gestructureerde interviews, documentstudies en van surveys en in minder mate van observaties. Veel modellen uit de sociale wetenschappen zijn al uitgewerkt in wetenschappelijk gevalideerde vragenlijsten.

In de meer open onderzoeken (op basis van kwalitatief onderzoek (Grounded Theory) en action research (Learning History), waarop de behavioural audit is gebaseerd,) zijn de hiervoor genoemde technieken veelal minder belangrijk en zijn andere technieken belangrijker. Daar zijn observaties en open interviews benodigd, waarbij de interviewer in staat is door te vragen naar de dieper gelegen achtergronden van het gedrag, zonder snel conclusies te trekken. Een dergelijk gesprek moet je, zoals Jan Otten aangaf, gegund worden. Dat vraagt om een open, empathische opstelling, die soms een uitdaging voor auditors is.

 

Hoe ga jij aan de slag met het auditen van soft controls?

Nog meer leren?

07-09-2018         Workshop Behavioural Auditing

17-09-2018         Training interviewvaardigheden

27-09-2018         Vertrouwen bevorderen in samenwerkingsrelaties

03-10-2018         Masterclass Tribes en Besluitvorming

04-10-2018         Training Leiden, inspireren en verbinden

07-12-2018         Workshop Behavioural Auditing

13-12-2018         Training Leiden, inspireren en verbinden

Terug naar het nieuwsoverzicht

IIA Nederland

088-0037100
iia@iia.nl
Burgemeester Stramanweg 105F
1101 AA Amsterdam
Contact opnemen

Audit Magazine

Audit Magazine

Lidmaatschap

IIA is dé toonaangevende beroepsorganisatie voor internal auditors. Een lidmaatschap laat u delen in de collectieve kennis van alle vakgenoten in de wereld.
Meer informatie