Grenzen van controleren bereikt?

Na elke overtreding komen er meer controleregels. Moeten we juist meer besturen met vertrouwen, en hoe dan?

Een serie blogs over AO/IC.

BLOG – Semper idem, sed aliter of anders gezegd “Telkens hetzelfde, maar dan anders”. Een mooie uitspraak, waarmee, wat mij betreft, de kern van de interne beheersingsproblematiek van organisaties wordt geraakt.

Door Arjan Hofman, partner bij adviesbureau ACS Partners. Hij zet zich in voor de uitvoering van AO/IC-opdrachten bij organisaties en traint en publiceert er over.

Organisaties zijn complexe systemen om te besturen. De grootte van de organisatie, de mate van onzekerheid, de markt, type producten en diensten, gekozen strategieën, organisatiestructuur etcetera zijn allemaal factoren die bepalen hoe complex het is om een organisatie te besturen. Maar bovenal, speelt één factor een cruciale rol, namelijk de menselijke factor, oftewel de medewerkers van de organisatie. Zonder deze factor is het – vooralsnog – onmogelijk om een organisatie te besturen en de organisatiedoelstellingen te halen. Belangrijk is dus dat medewerkers gedrag vertonen dat in het belang is van de organisatie. Dit creëert echter een keuzeprobleem voor de organisatie. Vertrouw ik erop dat de medewerkers de organisatie niet in de steek laten en het juiste gedrag vertonen óf moet het gedrag beïnvloed worden met allerlei positieve en negatieve controlemaatregelen. Met andere woorden, wordt het “vertrouwen is goed, maar controle is beter”, of “controle is goed, maar vertrouwen is beter”, of de gulden middenweg tussen vertrouwen en controle?

Sturing van controle?

Dat dit keuzeprobleem nog actueel is en nog niet is opgelost, blijkt wel uit alle boekhoudschandalen en misstanden die er in de afgelopen decennia hebben plaatsgevonden. Wellicht hebben organisaties te veel – misplaatst – vertrouwen gehad in haar medewerkers en is er te weinig aandacht geweest voor de diverse beschikbare controlemechanismen? Maar van dat laatste lijkt juist geen sprake. Sterker nog, sinds de financiële crisis is er een tsunami aan wetten en regelgeving gecreëerd met meer en strenger toezicht om dergelijke misstanden in de toekomst te voorkomen. Denk maar eens aan Sarbanes-Oxley, Solvency I en II, Corporate Governance codes, nieuwe wet- en regelgeving voor Woningcorporaties en zorginstellingen, Wet ter voorkoming van Witwassen, etcetera, etcetera. Maar helaas heeft deze enorme hoeveelheid aan controlemaatregelen niet geleid tot het voorkomen of verminderen van grote ongelukken en misstanden. En tegelijkertijd is de Pavlov reactie na een incident steevast hetzelfde: méér wet – en regelgeving en nog meer toezicht.

Als financieel professional wil je graag op de hoogte blijven van de nieuwste ontwikkelingen in cybersecurity. Je speelt immers vaak een cruciale rol binnen de organisatie en wilt voorkomen dat bedrijfsdata op straat komt te liggen of wordt gegijzeld. Deze cursus biedt een helder overzicht van de huidige cyberrisico’s. De docenten delen hun praktijkervaringen en bieden concrete handvatten om organisaties effectiever te laten reageren op de steeds complexere cyberdreigingen. Daarnaast wordt er aandacht besteed aan de impact van de nieuwe NIS2-wetgeving op organisaties.


Gaat dat wel de goede kant zou je je kunnen afvragen? Hoe zit de wereld er uit over tien of twintig jaar? Een kolossale hoeveelheid van wet- en regelgeving, waarmee organisaties worden verlamd? Volledig vertrouwen op de effectiviteit van interne risicobeheersings- en controlesystemen en niet meer vertrouwen in de mens? Wordt een organisatie straks voornamelijk afgerekend op het compliant zijn en het hebben van “in control”- verklaringen in plaats van op de kwaliteit van haar producten en diensten? Waarom nog steeds zoveel nadruk op al die formele en harde controlemechanismes? Het is een feit dat mensen grote invloed hebben op de interne beheersing van organisaties. Wordt het niet eens tijd om het menselijk gedrag veel steviger onder de loep te nemen?

Sturing van vertrouwen?

Vertrouwen in het management, intrinsieke en extrinsieke motivatie, loyaliteit, groupdynamics, karaktereigenschappen, levenservaringen, cultuur, leiderschapsstijl zijn allemaal factoren, die grote invloed hebben op het functioneren van de organisatie. Daarnaast hangt de effectiviteit van controlemaatregelen sterk af van de persoonlijke eigenschappen van de medewerkers. Zo zijn medewerkers met een meer consciëntieuze persoonlijkheid effectiever te beïnvloeden met formele controle- en beloningsmaatregelen dan minder consciëntieuze medewerkers. Maar de formele maatregelen houden geen rekening met deze karakterverschillen. Controles kunnen ook een averechts effect hebben. Neem het bekende voorbeeld van een kinderopvang, waar een boete werd ingevoerd voor ouders die te laat hun kinderen kwamen ophalen. Wat bleek: het aantal ouders dat hun kinderen te laat kwam ophalen, nam juist toe! Blijkbaar werd de sociale norm (“niet te laat ophalen”) verandert door de boete.

Interne beheersing van organisatie is een complexe aangelegenheid en formele controlesystemen blijven belangrijk. Maar we moeten voorkomen dat we hierin te veel doorslaan – als hier al geen sprake van is – en dat er een scheve balans ontstaat tussen vertrouwen in de positieve intenties en kunde van het menselijke handelen versus het vertrouwen in allerlei formele controlesystemen. Wellicht kunnen we eens wat meer gebruik gaan maken van de inzichten, zoals nudging, die bekende gedragswetenschappers in de afgelopen decennia hebben opgedaan.

Alle blogs van Arjan Hofman over AO/IC voor u op een rij gezet.

Gerelateerde artikelen