Soft Controls zijn meer dan alleen een risicofactor
Dit artikel is een verkorte en bewerkte versie van het artikel van Audit Magazine: Muel Kaptein: “Soft Controls zijn niet alleen een risicofactor”. Lees het volledige artikel via de link.
De ontwikkelingen op het gebied van soft controls
Er is een stijgende belangstelling bij verschillende partijen om soft controls als auditobject te kiezen. Dit is niet alleen in Nederland het geval, het is een exportproduct geworden. Andere landen tonen interesse in de kennis en ervaring die wij als land hebben op het gebied van het auditen van soft controls. Zij vragen zich af hoe Nederland dit onderwerp aanpakt. Een belangrijke reden dat Nederland vooroploopt, is dat wij al lang bezig zijn met de vraag wat de balans is tussen hard controls en soft controls. Hoe beter zicht er is op de soft controls, hoe beter de organisatie is te begrijpen.
Voor het auditen van soft controls zijn raamwerken, methoden en vaardigheden noodzakelijk. Daarnaast moet het ook organisatorisch mogelijk zijn. KPMG heeft samen met het Instituut van Internal Auditors (IIA) een paar jaar geleden het volwassenheidsmodel soft controls opgesteld. Onderzoek onder interne auditfuncties (IAF’s) laat een groei in volwassenheid zien. Zo is te zien dat er steeds vaker een systematisch en geïntegreerde soft-controlsaanpak wordt gehanteerd, dat de business bij soft controls audits wordt betrokken en dat er proactiever met soft controls aan de slag wordt gegaan.
De positie van de IAF’s in het volwassenheidsmodel
Het model laat zien dat er nog ontwikkelingsruimte is. De IAF’s kunnen zich bijvoorbeeld ontwikkelen door een nog meer geïntegreerde aanpak op het gebied van soft controls. Daarnaast zien we dat IAF’s meer en meer gebruikmaken van de soft-controlsonderzoeken die de business zelf uitvoert. Bovendien zijn er steeds meer audittechnieken beschikbaar die de auditor kan inzetten op het gebied van soft controls. Door deze technieken wordt het onderzoek verfijnder, betrouwbaarder en bruikbaarder.
De IAF moet nagaan waar en hoe de soft controls bijdragen aan het realiseren van de strategische doelstellingen van de organisatie. Daarnaast beoordeelt de IAF of de soft controls een risicofactor zijn bij het realiseren van deze strategische doelen. Dat zijn twee fundamentele vragen voor de IAF. Bovendien is het auditen van soft controls niet een eenmalige exercitie. Het gaat steeds meer om het volgen van de ontwikkeling ervan in de tijd. De soft controls kunnen vandaag in orde zijn, maar morgen zijn verslechterd.
“Soft controls zijn niet alleen een risicofactor maar ook een succesfactor.”
De relevantie van het auditen van soft controls voor de raden van bestuur
Hoe minder belangrijk een raad van bestuur het auditen van soft controls vindt, hoe belangrijker het auditen van soft controls is. Het is dus een paradox. Als een raad van bestuur het auditen van soft controls belangrijk vindt, dan vinden ze soft controls vaak ook belangrijk. Echter, als het bestuur het auditen van soft controls niets vindt, dan er is vaak meer aan de hand met hun leiderschap en daarmee met de soft controls in de organisatie. Gelukkig zijn bestuurders zich steeds meer bewust van het belang van soft controls. Soft controls dienen volgens hen op orde te zijn om de strategische doelstellingen van hun organisatie te kunnen halen. Soft controls zijn niet alleen een risicofactor maar ook een succesfactor.
“Auditors denken weleens dat ze na het volgen van een eenmalige training met soft controls aan de slag kunnen.”
Wie kan aan de slag met deze soft controls en wat zijn de grootste valkuilen?
Elke auditor heeft de juiste bagage om aan de slag te gaan met soft controls. Een auditor denkt planmatig, in risico’s en in raamwerken. Binnen organisaties heb je vaak te maken met verschillende definities van soft controls tussen bijvoorbeeld HRM en de rest van de organisatie. Het is belangrijk om als IAF samenwerking te zoeken met deze functies om consistentie in de definities te waarborgen.
Er zijn twee grote valkuilen wanneer men aan de slag gaat met soft controls. Auditors denken weleens dat ze na het volgen van een eenmalige training met soft controls aan de slag kunnen. Het vergt oefening en oefening baart kunst. Men moet dus te tijd nemen en niet te snel willen gaan. De tweede valkuil is de eerdergenoemde paradox. Hoe minder aandacht het bestuur geeft aan soft controls, hoe belangrijker soft controls audits zijn. Het is een valkuil te denken dat het bestuur bepaalt of het auditen van soft controls gebeurt.
Een afsluitend advies voor de IAF
Het is wijs om op een open benadering te hanteren wanneer je aan de slag gaat met dit onderwerp. Er is niet één methode, één model en één aanpak. Trek daarbij vooral tijd uit voor het opstellen van een goed normenkader, want dit is de helft van het werk. Stem dit normenkader af met de opdrachtgever of, sterker nog, maak het gezamenlijk want dit bevordert de acceptatie.
Lees het volledige interview in het artikel van Audit Magazine: Muel Kaptein: “Soft Controls zijn niet alleen een risicofactor”
