Control is in ontwikkeling. Bent u nog wel bij? Leert u voldoende van andere vakgebieden? Volgens het rapport Risk in Focus 2019 is het een risico dat de hedendaagse wijze van sturing en beheersing niet voldoende tegemoet kan komen aan de snelheid, omvang en complexiteit van veranderingen (in technologie, klantwensen en risico’s). Dat geldt voor organisaties, maar ook, en wellicht nog wel meer, voor internal auditors. In dit artikel een kleine toets, waarmee u kunt kijken naar uw ‘voorkeurstijl’ en of u helemaal bij bent. Tevens volgen handreikingen om een eventuele achterstand snel in te halen.
Soms is er sprake van dubbele controls: een leverancier (A) levert een product aan zijn klant (B); zij hebben overlegd over de eisen aan het product. Vóór verzending controleert A het product, na ontvangst doet B hetzelfde. Omdat er goed overleg is geweest over de producteisen (de norm), zijn beide controles eigenlijk hetzelfde. Als tijdens het vervoer en de tussenliggende tijd weinig risico’s aanwezig zijn van ‘productbederf’, betekent dat dat één van beide controles kan komen te vervallen. Welke controle zou u adviseren af te schaffen?
Ik heb deze vraag in vele trainingen (over het KAD-model) gesteld en steeds weer bleek dat het antwoord sterk samenhangt met het beroep of vakgebied waarin men werkzaam is. Auditors, en zeker accountants, kiezen (meestal) voor het laten vervallen van de eindcontrole bij A. Kijkend naar de tegengestelde belangen en scheiding van functies dekt de invoercontrole bij B het risico van fouten immers het beste af. Functionarissen vanuit de kwaliteitszorg en procesmanagers laten echter juist de invoercontrole bij B vervallen. Immers, als er goede samenwerkingsafspraken zijn gemaakt (en ze dus ‘business partners’ zijn), is het voor B het meest efficiënt als die de ontvangen zaken direct (‘just in time’) kan verwerken. Dit is, zeker in de industriële wereld, ook de gebruikelijke praktijk.
Verschil in denkwijze
Dit verschil in denkwijze hangt natuurlijk samen met de gevolgde opleiding – en met het verkeren in een vaak besloten kring die de geleerde beginselen versterkt. Het grote onderscheid tussen beide invalshoeken is het vertrekpunt: gaan we uit van een tegengesteld of van een gezamenlijk belang, van wantrouwen of vertrouwen? Overigens geen blind vertrouwen! In samenhang met het weglaten van invoercontroles worden goede afspraken gemaakt over producten en proces, wordt gevraagd om certificeringen (oorspronkelijk ISO9000, maar ook ISAE3402) en wordt periodiek de samenwerking geëvalueerd. Als u heeft gekozen voor A, zou een verkenning van de principes achter ISO9000, van kwaliteitszorg (quality assurance) en ketensamenwerking u kunnen inspireren.
Graag wil ik uw kennis op nog een aantal andere punten toetsen:
- Kent u het Cynefin framework? (Zie onder)
- Kent u de principes van Agile en Scrum?
- Kent u het i4C-model van innovatiekracht?
- Kent u de principes van ‘Anders Vasthouden’ van Wouter Hart?
Nieuwe beheersmechanismen
Bovenstaande ‘frameworks’ geven u handvatten voor situaties waarin de ‘traditionele’ en door veel auditors als basis gehanteerde beheersmechanismen niet meer werken. Als de omstandigheden snel veranderen, te complex zijn om vooraf goed te doorgronden of er sprake is van teveel specifieke kenmerken om klanten goed te kunnen bedienen, werken gedetailleerde afspraken vooraf (zoals taakbeschrijvingen, procedures en maandelijkse rapportages) niet meer (of zelfs averechts).
“It’s the right time for all stakeholders to put everything on the table to try and find smarter, more fluent controls for the operational engine.”
Risk in Focus 2019, Chief Audit Executive French public sector
Kenmerkend in de bovengenoemde ‘frameworks’ is het bij elkaar brengen van samenhangende activiteiten, het lager in de organisatie leggen van verantwoordelijkheden en daartoe een meer ondersteunende dan directieve manier van managen.
Soms wordt dit gedefinieerd als het ‘verminderen van de beheersing’ of, en dan wordt het vaak als een bedreiging gezien, ‘loslaten’. Ik denk dat dat niet zo is; er wordt niet losgelaten in termen van ‘meer aan de medewerkers overlaten’, maar, zoals Wouter Hart het mooi verwoord “anders vasthouden”. De wijze van sturing en beheersing wordt anders, meer gericht op het borgen van de professionaliteit en het oplossend vermogen van de medewerkers, in combinatie met sturing op het ‘wat’ in plaats van het ‘traditionele’ sturen op het ‘hoe’. Dat kan ook niet anders, als het ‘hoe’ per klant (iets) kan verschillen of snel verandert in de tijd.
Ik wil niet zeggen dat in alle organisaties en in alle processen nu moet worden gekozen voor die andere manier van sturen en beheersen. Dat is afhankelijk van de situatie. Het Cynefin framework biedt hierbij een mooi hulpmiddel.
De traditionele beheersing (‘procedures’, watervalsysteemontwikkeling), past bij ‘simple’, bij goed voorspelbare situaties, maar niet bij de complexe(re) situaties. Daar zijn de hiervoor benoemde modernere vormen van beheersing nodig.
De trend is wel duidelijk. Gegeven de dynamiek en complexiteit van de samenleving verschuiven veel situaties (steeds) meer naar ‘complex’. Als auditors moeten we zorgen daar in mee te gaan, of hier juist de voortrekker in te zijn! Bent u bij, of gaat u uw achterstand inhalen?
“Internal audit is often focused on old organisational structures and the risk governance linked to that. Now we are moving more towards networked organisations and agile development. Does internal audit need to adapt its approach when it comes to this?”
Risk in Focus 2019, Chief Audit Executive Swedish telecoms group
Auteur: Peter Hartog is manager vaktechniek bij IIA Nederland en daarnaast verbonden aan de Erasmus School of Accounting & Assurance als docent aan de postinitiële opleiding Internal Auditing & Advisory.