Mede gesteund door de vernieuwde Corporate Governance Code, die onder andere de nadruk legt op houding, gedrag en cultuur, wordt het onderwerp Soft control de laatste tijd weer nadrukkelijk opgepakt door internal auditors. Gelukkig gaat het daarbij verder dan alleen uitingen over het belang ervan. Velen hebben de uitdrukkelijke wens om Soft control te integreren in de werkwijze. We zien daartoe diverse initiatieven, maar dat blijkt in de praktijk echter nog niet altijd even makkelijk. Hieronder delen we enkele inzichten, voor internal auditors die streven naar het integreren van Soft controls in hun werkwijze.
Integratie-opties
Uiteraard heb je als internal auditor de gelegenheid, in samenspraak met je opdrachtgever, Soft control te verheffen tot een afzonderlijk auditobject. Daaraan kunnen duidelijke nadelen kleven. Voor opdrachtgever, auditee en auditor kan het bijvoorbeeld een te grote stap ineens zijn. Of het blijft daardoor bij een eenmalig uitgevoerde audit naar gedrag, houding en cultuur, terwijl uiteraard bij meer auditobjecten deze elementen van belang zijn. Om die reden zijn auditfuncties op zoek naar een integratie van Soft control in de algehele werkwijze. Een integratie die minder vrijblijvend is dan alleen het inruimen van een paragraaf erover in een plan van aanpak of auditrapportage.
Als internal auditor heb je een aantal mogelijkheden om Soft control te integreren in de algehele werkwijze. Grofweg komen die mogelijkheden neer op:
- Het meenemen van aspecten van cultuur, houding en gedrag bij de overall risicoanalyse in het kader van de selectie van auditobjecten.
- Het standaard meenemen van deze aspecten in de verkenningsfase voor een individuele audit, met als consequentie dat je concreet aangeeft wat je verwacht en hoe je een en ander meeneemt in de scope (uiteraard motiveer je het ook als je besluit hieraan géén aandacht te schenken).
- Het kiezen van ‘standaard’ referentiemodellen waarin houding, gedrag en cultuur al is geïntegreerd (zoals bijvoorbeeld COSO, met het onderdeel Internal Environment).
- Het standaard uitvoeren van een oorzaakanalyse op basis van modellen waarin Soft control elementen zijn opgenomen (zoals bijvoorbeeld ‘de acht factoren van Kaptein’).
Maar dan….
De integratie-opties zijn vrij overzichtelijk. Toch leiden de daarin gemaakte keuzes lang niet altijd tot een verankerde integratie van Soft control. Met het nadenken over de technische integratie-opties ben je er kennelijk nog niet.
Allereerst is het natuurlijk interessant om eventuele voorgaande initiatieven te analyseren, waarom die niet tot blijvend succes leidden. Vervolgens is het belangrijk om zeer nadrukkelijk aandacht te besteden aan de volgende relevante aspecten:
- Toets of het (audit)management het belang onderschrijft. Zo ja, laat hen vervolgens dat belang uitdragen.
- Breng de mogelijke (persoonlijke) belemmeringen gericht in kaart en schenk tijd & aandacht aan emoties en onzekerheden op dit vlak.
- Betrek de teamleden bij concrete activiteiten, zoals het gezamenlijk benoemen van het belang en het definiëren wat we verstaan onder cultuur, houding en gedrag.
- Maak cultuur, houding en gedrag met elkaar tastbaar, zodat iedereen weet wat eronder kán vallen (niet gelijk een checklist).
- Evalueer de belangrijkste initiatieven en deel de eerste successen vanuit zowel de auditors als de auditees.
- Benoem een expert(team) op dit onderwerp, die aanjaagt, stimuleert en waarbij anderen met vraagstukken of dilemma’s terecht kunnen.
- Ga de samenwerking en informatie-uitwisseling aan met andere functies (zoals HR, Risk, Compliance) die ongetwijfeld ook dergelijke ontwikkelingen in gang (willen) zetten.
De voorgaande lijst is geen limitatieve lijst van acties, waarmee succes gegarandeerd is. We willen hiermee vooral benadrukken dat de implementatie van Soft control absoluut verder gaat dan alleen het kiezen van één of meerdere technische integratie-oplossing(en). Het is een verandertraject waarbij aandacht dient te zijn voor alle klassieke elementen van veranderingsmanagement.
Mocht je willen doorpraten over dit interessante onderwerp, leg dan een verbinding met Sander van Oosten (sander.van.oosten@auditpeople.nl of 06-18804323).
AuditPeople (www.auditpeople.nl) is een specialistische dienstverlener die internal audit functies voorziet in capaciteit en expertise.