Soft controls zijn niet alleen een risicofactor maar ook een succesfactor (Audit Magazine 2)

06-07-2020

Audit Magazine 2 - 2020 THEMA: BREIN 3.0

Audit Magazine sprak met Muel Kaptein (KPMG). Hij nam ons met al zijn auditervaring en volle energie mee in de wereld van de soft controls en audit. Kaptein ontwikkelde het bekende soft-controlsmodel, een model voor het auditen van cultuur en gedrag binnen organisaties, en deelt hier zijn ervaringen.

Tekst: Liane van Eerde RO, Raymond Wondergem MSc RO

Welke ontwikkelingen ziet u op het gebied van soft controls?

“De toepassing van soft controls is in ontwikkeling. Vergeleken met tien jaar geleden is er op dit vlak veel veranderd. Soft controls worden tegenwoordig vaak meegenomen als onderdeel van de audit en soms zelfs als auditobject gekozen. Daarnaast zie ik een stijgende belangstelling bij allerlei partijen buiten een organisatie voor het auditen van soft controls. Niet alleen bij beroepsverenigingen, maar ook bij externe toezichthouders, investeerders, overheden en ngo’s. Het auditen van soft controls is een exportproduct geworden. Andere landen tonen interesse in de kennis en ervaring die wij als land hebben op het gebied van het auditen van soft controls. Zij vragen zich af hoe Nederland dit onderwerp aanpakt. Dit zijn landen als Australië, Zweden en Brazilië. Een belangrijke reden dat Nederland vooroploopt, is dat wij al lang bezig zijn met de vraag wat de balans is tussen hard controls en soft controls. Hoe beter zicht we hebben op de soft controls, hoe beter we de organisatie kunnen begrijpen en helpen. Het monitoren van soft controls is niet alleen een activiteit die wordt uitgevoerd door de derde lijn, maar steeds vaker ook door de tweede lijn. De afdelingen Riskmanagement en Compliance zijn steeds meer bezig met het doorlichten en bevorderen van soft controls. Ook vanuit de vierde lijn, de accountants, en de vijfde lijn, externe toezichthouders, is er aandacht voor soft controls en het auditen daarvan. Al deze aandacht zorgt ervoor dat de aandacht voor het auditen van soft controls nog verder toeneemt.”

Wat betekent dat?

“Het auditen van soft controls betekent niet alleen dat het belang ervan wordt erkend, dus het willen auditen ervan. Maar ook dat het kan worden geaudit. Hiervoor zijn raamwerken, methoden en vaardigheden noodzakelijk en gelukkig ook steeds meer beschikbaar. Daarnaast moet het organisatorisch mogelijk zijn. Dat betekent dat er binnen een organisatie waardering moet zijn voor het auditen van soft controls, zowel bij het management, het bestuur als de commissarissen. Als dit het geval is komen ‘kunnen’, ‘willen’ en ‘mogen’ bij elkaar. Tegelijkertijd zijn we er nog niet. KPMG heeft samen met het IIA een paar jaar geleden het volwassenheidsmodel soft controls opgesteld. Recent onderzoek van ons onder interne auditfuncties (IAF’s) laat zien dat we groeien in volwassenheid. Zo zien we dat er steeds vaker een systematisch en geïntegreerde soft-controlsaanpak wordt gehanteerd, dat de business bij soft controls audits wordt betrokken en dat er proactiever met soft controls aan de slag wordt gegaan.”

In welke fase zitten de IAF’s in het volwassenheidsmodel?

“Gemiddeld genomen bevinden IAF’s zich in de middelste fase. Het model laat zien welke ontwikkelingsruimte er nog is. De IAF’s kunnen zich bijvoorbeeld ontwikkelen door een nog meer geïntegreerde aanpak op het gebied van soft controls. Daarnaast zien we een ontwikkeling dat IAF’s meer en meer gebruikmaken van de soft- controlsonderzoeken die de business zelf uitvoert. Bovendien zijn er steeds meer audittechnieken beschikbaar die de auditor kan inzetten op het gebied van soft controls. Door deze technieken wordt het onderzoek verfijnder, betrouwbaarder en bruikbaarder. Een formulering als ‘het voorbeeldgedrag is onvoldoende’ past niet meer in de manier van rapporteren. Dan moet je toch echt aangeven op welke gebieden, in welke mate, met welke risico’s en welke oorzaken.”

Wanneer kun je echt zeggen dat je als IAF soft controls meeneemt?

“Als je soft controls op een systematische wijze audit, je voldoende geëquipeerd bent en over soft controls rapporteert. In het verleden was het zo dat de opdrachtgever tevreden was als de auditor iets rapporteerde over soft controls. Zo van ‘mooie bijvangst!’ Tegenwoordig mag de opdrachtgever ervan uitgaan dat wanneer in de rapportage niets wordt gezegd over soft controls, deze op orde zijn en ze geen risicofactor vormen. Dit is een omslag in het denken. Daardoor ligt er een grote verantwoordelijkheid bij internal auditor. Geen bericht is goed bericht. Dus je moet uitsluiten dat de soft controls niet op orde zijn.”

Lees het volledige interview met Muel Kaptein op www.auditmagazine.nl

Photo by Headway on Unsplash
Terug naar het nieuwsoverzicht

IIA Nederland

088-0037100
iia@iia.nl
Burgemeester Stramanweg 102A
1101 AA Amsterdam
Contact opnemen

Audit Magazine

Audit Magazine

Lidmaatschap

IIA is dé toonaangevende beroepsorganisatie voor internal auditors. Een lidmaatschap laat u delen in de collectieve kennis van alle vakgenoten in de wereld.
Meer informatie