Inleiding

In 2003 verdedigde de Amerikaanse senator Paul Sarbanes in de Senaat zijn wetsvoorstel voor deugdelijk ondernemingsbestuur. Een rechtstreeks gevolg van deze wet is het systematischer inrichten van de interne beheersingsmaatregelen voor de financiële rapportages. Op 30 december 2004 trad de Nederlandse versie, de code-Tabaksblat, in werking. Deze code is van toepassing op alle vennootschappen in Nederland die zijn genoteerd op de Amsterdamse beurs. De code schrijft voor hoe toezicht op het bestuur is geregeld en hoe het bestuur verantwoording moet afleggen. In de eerste jaren na invoering van de wet concentreerden bedrijven zich vooral op het opzetten van een raamwerk van interne beheersingsmaatregelen. Zoals uit figuur 1 blijkt, is in de jaren die daarop volgden de focus verlegd naar het zoeken naar manieren om de interne beheersing verder te optimaliseren en hiermee de kosten van interne beheersing te verlagen. Hierbij zijn organisaties meer gaan steunen op geautomatiseerde beheersingsmaatregelen ([Bast04], [Neis02]).

Figuur 1. Changing control environment.

Momenteel kijken organisaties naar aanvullende manieren om de effectiviteit van de interne beheersing te vergroten en hierover zekerheid te krijgen. Veelal moeten de kosten van compliance van interne beheersing omlaag en moet de zekerheid omhoog. Hierdoor bestaat de behoefte en de noodzaak om via aanvullende wegen aan zekerheid te komen. Daarnaast geven enkel hard controls niet voldoende zekerheid dat de risico’s van interne beheersing voldoende worden beheerst. Data-analyse en soft controls worden vaak genoemd als nieuwe technieken waarmee je met minder inspanning meer zekerheid kunt verkrijgen. In onze visie neemt de verschuiving van de aandacht naar data-analyse en soft controls in de jaarrekeningcontrole de komende jaren een grotere vlucht omdat data-analyse en soft controls niet alleen beter inzicht verschaffen in de mate van interne beheersing, maar organisaties ook inzicht geven in brede zin om bedrijfsprocessen verder te optimaliseren.

Behalve vanuit de interne organisatie (met name vanuit de interne auditdienst) komt er ook steeds meer aandacht voor soft controls vanuit internationale beroepsgroepen en Amerikaanse toezichthouders. Het COSO-raamwerk, dat in mei 2013 na twintig jaar een nieuwe release kreeg, vraagt expliciet aandacht voor competenties en verantwoordelijkheden. Een van de oorzaken is de toenemende complexiteit van organisaties en hun omgeving.

Ook in Nederland hebben externe toezichthouders (AFM en DNB) en commissarissen steeds meer aandacht voor soft controls. Uit onderzoek ([Lück15]) komt naar voren dat 48 procent van de commissarissen vindt dat de accountant een bijdrage kan leveren aan het beoordelen van de ‘tone at the top’. Na schandalen in de semipublieke sector, onder andere bij Vestia, Rochdale en Amarantis, heeft het kabinet eind 2013 een onafhankelijke commissie opdracht gegeven principes voor ‘behoorlijk bestuur’ op te stellen ([Hals13]). Deze Commissie Behoorlijk Bestuur, met als taak het opstellen van gedragsregels voor professioneel en ethisch verantwoord handelen van bestuurders en interne toezichthouders in de semipublieke sectoren, richt zich voor een belangrijk deel op soft controls.

Dit artikel begint met een definitie van soft controls. Daarna volgt een voorbeeld van de wijze waarop soft controls kunnen worden geïntegreerd in de jaarrekeningcontrole in het IT-domein.

Soft controls

Soft controls kunnen worden gedefinieerd als ‘niet-tastbare gedragsbeïnvloedende factoren in een organisatie die van belang zijn voor het realiseren van de doelen van de organisatie en de eisen en verwachtingen van stakeholders‘ ([Kapt10]).

Organisaties nemen in toenemende mate soft controls mee in hun interne onderzoeken om op een vollediger wijze aantoonbaar ‘in control’ te zijn. Het management van een organisatie formuleert het beleid en stippelt de strategie uit om die vervolgens te vertalen naar kritische succesfactoren. Heus en Stremmelaar ([Heus00]) maken hierbij onderscheid tussen kritische succesfactoren (KSF’s) en kritische organisatievariabelen (KOV’s). Volgens hen heeft een KSF primair een externe focus en neemt die het perspectief van onder meer klanten en toezichthouders als uitgangspunt. Aan de hand van deze factoren kan de organisatie zicht houden op de mate waarin de strategische koers wordt gevolgd en de mate waarin de organisatie daarmee bijvoorbeeld onderscheidend blijft ten opzichte van de concurrentie. Voorbeelden zijn het percentage klantvriendelijkheid en het aantal klachten. Een KOV heeft daarentegen een interne focus. Hierbij wordt gekeken naar sociale, culturele en psychologische variabelen van de organisatie. Deze variabelen zijn van directe invloed op de effectiviteit van bedrijfsprocessen. Het management moet bij de inrichting van processen aandacht besteden aan zowel KSF’s als KOV’s.

Voor organisaties is het een opgave om de KSF’s/KOV’s te monitoren en bij te sturen. Sturing vindt plaats door zowel hard controls als soft controls. Soft controls zijn complementair aan hard controls (zowel data-analyse als process level controls). Een goede kwaliteit van soft controls heeft een positief effect op de effectieve werking van hard controls. Andersom geldt ook dat niet-effectieve process level controls een negatief effect kunnen hebben op gedrag. Een kassa die gemakkelijk toegankelijk is, leidt nu eenmaal eerder tot diefstal dan een kassa die afgesloten is. Het signaal dat uitgaat van een afgesloten kassa is evident: geen ongeautoriseerde toegang.

Inzicht in de kwaliteit van soft controls geeft inzicht in potentiële nieuwe risico’s. Soft controls zijn een belangrijk onderdeel van de in COSO beschreven entity level controls. ‘Tone at the top’, openheid en betrokkenheid bepalen voor een belangrijk deel het controlebewustzijn in de organisatie. Daarmee is de kwaliteit van soft controls (mede)bepalend voor de waarschijnlijkheid waarmee risico’s tot een acceptabel risico kunnen worden verlaagd.

Organisaties schrijven de meerwaarde van soft controls onder andere toe aan de systematische gedragsoorzakenanalyse. Internal-auditafdelingen maken in toenemende mate gebruik van een gedragsoorzakenanalyse om de kiem van een auditbevinding bloot te leggen. Soms wordt hiermee inzicht verkregen in nieuwe potentiële risico’s. Als resultaat van een audit gericht op de effectiviteit van hard controls kan bijvoorbeeld de bevinding worden gerapporteerd dat een procedure en/of richtlijn ontbreekt voor het proces van wijzigingsbeheer. De conclusie zou kunnen zijn dat de procedure en/of richtlijn (al dan niet op schrift) ‘niet effectief’ is. Het is nog maar de vraag of dit het geval is. Bij een oorzakenanalyse kan aan het licht komen dat medewerkers geheel volgens de (externe) norm werken maar dat bijvoorbeeld sprake is van een gebrek aan leiderschap. Denk in dit geval aan een leidinggevende die geen belang hecht aan regels, deze ook niet kent en dus hier ook niet op toeziet. De vraag is in welke mate deze manager betrokken is bij andere normen, zoals de gedragscode of regels rondom data security. Door te letten op soft controls, zoals de houding van het management, komen mogelijk niet eerder geïdentificeerde risico’s aan het licht.

Soft controls en soft-controlinstrumenten

Er is een onderscheid tussen soft controls en soft-controlinstrumenten. Soft controls zijn het best te vergelijken met de eerdergenoemde kritische organisatievariabelen (KOV’s) en beschrijven de context van een organisatie op verschillende niveaus, bijvoorbeeld op organisatiebreed niveau de ‘tone at the top’ en op het niveau van processen of controls de mate van uitvoerbaarheid van of betrokkenheid met hard controls. Soft controls vormen het fundament van iedere organisatie, het gedrag van bestuur, management en medewerkers. Soft-controlinstrumenten zijn de beheersingsinstrumenten die zijn gericht op het stimuleren van gewenst gedrag in een organisatie.

In figuur 3 is het KPMG Soft Controls Model opgenomen. Dit model geeft een schematische weergave van de samenhang tussen hard controls en soft controls. Het model bestaat uit de acht soft controls beschreven door Muel Kaptein ([Kapt11]).

Figuur 3. KPMG Soft Controls Model. [Klik op de afbeelding voor een grotere afbeelding]

Soft controls en soft-controlinstrumenten binnen het IT-domein

Wanneer de IT-auditor in het kader van de jaarrekeningcontrole een onderzoek naar de General IT Controls uitvoert, dan neemt de IT-auditor vaak al een aantal soft-controlinstrumenten mee in de beoordeling van de interne beheersing, zoals de IT-governancestructuur, security awareness en het gehanteerde IT-governancemodel (denk hierbij aan het demand-supplymodel tussen de business en de IT-organisatie of het hebben en naleven van de IT-strategie). Uiteraard heeft de IT-auditor vooraf het object van onderzoek bepaald op basis van een risicoafweging ([Neis02]).

Daarnaast besteedt de IT-auditor op procesniveau vaak impliciet aandacht aan soft controls. Het Capability Maturity Model (CMM) ([CMMI02]) helpt enerzijds om de volwassenheid van processen te meten en anderzijds om goed inzicht te krijgen in de menselijke factor in IT-beheersprocessen. Wanneer we de soft-controlinstrumenten uit het KPMG Soft Controls Model vergelijken met het CMM, dan zien we een overlap van componenten zoals:

• gedragscode, ‘tone at the top’ en beleid (relateert aan de soft controls ‘helderheid’en ‘voorbeeldgedrag’);
• monitoring en direct supervision (relateert aan de soft controls ‘transparantie’ en ‘aanspreekbaarheid’);
• training en bewustwordingsactiviteiten (relateert aan de soft control ‘betrokkenheid’);
• functioneringsgesprekken en taken & verantwoordelijkheden (relateert aan de soft control ‘helderheid’).

Figuur 4. Capability Maturity Model (CMM). [Klik op de afbeelding voor een grotere afbeelding]

Zoals uit figuur 4 blijkt, relateren een aantal meetindicatoren van het CMM aan de kwaliteit van soft controls. Zo kan het aspect ‘Mensen-en-vaardighedenmanagement’ (People and Capability Management) gemeten worden aan de hand van personeelsverloop, medewerkerstevredenheid en competenties van mensen. Deze indicatoren geven inzicht in de mate van betrokkenheid (hoe tevreden zijn mensen met hun werk en is tevredenheid mogelijk een reden voor laag personeelsverloop?) en uitvoerbaarheid (krijgen medewerkers de juiste trainingen om hun werk uit te voeren?).

Andere indicatoren/componenten, naast de meetindicatoren uit het CMM, die de IT-auditor helpen om inzicht te geven in de kwaliteit van soft controls zijn bijvoorbeeld:

• Sterkte van de relatie tussen business en IT. Hebben business en IT heldere afspraken gemaakt over interne service levels? In welke mate zijn dilemma’s bespreekbaar?
• Span of control. Is de afdeling te groot om nog direct supervision toe te passen? In hoeverre is de leidinggevende nog in staat om in voldoende mate betrokken te zijn?
• Regeldruk. Hoe ziet de balans tussen regels en vertrouwen eruit?
• Functional/technical quality of applications. In hoeverre worden medewerkers geholpen (of juist tegengewerkt) door IT-hulpmiddelen?
• (IT-)strategie/visie. In hoeverre bestaat deze en wordt deze door het management uitgedragen en nageleefd? In welke mate zijn de strategie en visie helder voor de medewerkers?

Soft controls in het kader van de jaarrekeningcontrole

Wij onderscheiden twee niveaus bij de beschouwing van soft controls in het kader van de jaarrekeningcontrole: het niveau van entity level en het niveau van process level.

• Wanneer we naar soft controls kijken op het niveau van entity level, beschouwen wij de kwaliteit van een of meer van de acht soft controls binnen een organisatie. Dit kan bijvoorbeeld door middel van een enquête onder medewerkers binnen een bepaalde thematiek, zoals ‘openheid’ of ‘controlebewustzijn’. De kernwaarden van de organisatie kunnen als referentiekader worden genomen.
• Bij soft controls op het niveau van process level kijken we naar soft controls en soft-controlinstrumenten binnen bedrijfs- of IT-processen. Hier wordt vaak een link gelegd naar hard controls. Soft-controlinzichten kunnen input zijn voor de risicoanalyse voorafgaand aan de controlewerkzaamheden. De IT-auditor onderzoekt in het kader van ‘understanding of the IT environment’ wat de kans is op een materiële afwijking in de jaarrekening als gevolg van fraude en/of fouten in het IT-domein. Een goed begrip van de mogelijke oorzaken van afwijkingen is hierbij noodzakelijk. Inzicht in de kwaliteit van soft controls draagt bij aan het verkrijgen van een goed begrip.

In tabel 1 zijn de wijzigingen in de aanpak voor de IT-auditor schematisch weergegeven. De activiteiten in de nieuwe aanpak vragen om een IT-auditor die getraind is om soft controls te kunnen toetsen. De IT-auditor zal meerdere technieken moeten toepassen om zijn conclusie beter te kunnen onderbouwen.

Tabel 1. Veranderingen in de activiteiten van de IT-auditor.

De IT-auditor zal minder traditionele vragen moeten stellen en andere auditinstrumenten moeten hanteren die hem helpen in zijn onderzoek naar de kwaliteit van soft controls. Hij zou bijvoorbeeld de auditee een aantal stellingen kunnen voorleggen, voorafgaand aan het interview rondom hard controls. Dit vergt uiteraard ook vanuit de auditee de openheid om hier eerlijk over te antwoorden en vereist dus mogelijk nieuwe vaardigheden van de (IT-)auditor. Voorbeelden van zulke nieuwe vaardigheden zijn:

1. Medewerkers zijn voldoende kritisch ten aanzien van elkaar met betrekking tot de control ‘autoriseren van gebruikers’.
2. Medewerkers worden aangesproken op het omzeilen of niet juist uitvoeren van de control ‘de emergency change procedure’.
3. Aanspreken op het niet naleven van de control ‘security awareness’ gebeurt serieus (niet alleen met een grap).
4. Fouten rondom de control ‘review functiescheidingsconflicten’ worden niet afgeschoven op anderen.

Ook observaties geven de IT-auditor waardevolle informatie over het gedrag dat medewerkers vertonen. Denk hierbij aan de mate waarin zij adequaat vragen beantwoorden en elkaar aanspreken bij onbehoorlijk wachtwoordgebruik. Dit zijn belangrijke observaties in het kader van interne beheersing.

Een ander instrument is de dilemmasessie. Hierin kunnen ‘brede’ ethische dilemma’s worden behandeld, maar kan men ook specifiek ingaan op dilemma’s relevant voor de IT-audit, bijvoorbeeld in de sfeer van IT-security. Hierin kan het naleven van het informatiebeveiligingsbeleid aan de orde komen, bijvoorbeeld het spanningsveld tussen het halen van deadlines (service level agreements) en een gedegen implementatie van programmatuurwijzigingen in de productieomgeving (emergency change procedures). Dilemmasessies leveren niet alleen waardevolle controlinformatie op, maar vergroten tevens het risicobewustzijn bij de klant.

Uitwerking met voorbeelden

In tabel 2 is voor twee typische ITGC-onderwerpen een uitwerking gegeven van mogelijke auditwerkzaamheden op zowel hard controls als soft controls.

Tabel 2. Uitwerking van ITGC-onderwerpen met voorbeelden.

Conclusie

Recent uitgevoerde jaarrekeningcontroles tonen de meerwaarde aan van het integreren van soft controls in het domein van General IT Controls. Na ruim tien jaar Sarbanes-Oxley, waarbij organisaties met name de focus hebben gelegd op het implementeren van hard controls, krijgen soft controls en data-analyse de afgelopen jaren meer aandacht. Organisaties hebben de ambitie om aantoonbaar ‘in control’ te zijn over (gedrags)risico’s en de kosten van compliance te verlagen. Aandacht voor soft controls kan nader inzicht verschaffen in de risico’s die een organisatie loopt en input geven voor een risicoassessment in het kader van de jaarrekeningcontrole. Na het testen van de beheersingsmaatregelen kan op basis van een soft controls root cause analysis worden vastgesteld wat de achterliggende oorzaak is van bevindingen zoals het ontbreken of niet effectief zijn van beheersingsmaatregelen. Met dit inzicht kunnen zowel kleine als grote ondernemingen aan de slag om de interne beheersing van risico’s binnen de organisatie verder te versterken. Dit draagt bij aan het succes van de organisatie.