Opinie

Wat is er mis met soft controls?

Gerard Dirven gooit de knuppel in het hoenderhok: soft controls bieden geen audit evidence. Heeft hij gelijk?

Al sinds ik tijdens de studie iets hoorde over Levers of Control van Simons,  ben ik een beetje uit hobby met het onderwerp bezig. Ik vond de softe kant van Simons, met name de Belief Systems fascinerend. Bij mijn afstudeerscriptie heb ik geprobeerd vast te stellen of de werking van controls uit de hoek Belief Systems bewijsbaar is. Sinds die tijd volg ik de ontwikkelingen zo goed ik kan.

Zo heb ik enkele keren een NBA-cursus rond dit onderwerp gevolgd. Wat me daarbij opviel was dat deze cursussen vrijwel uitsluitend door intern accountants worden gevolgd, en dan nog eens met name de intern accountants die zich met operational audit bezig houden. Certificerend accountants ontbraken goeddeels.

Juist vanuit de stelling van Gerard Dirven is dat niet zo gek. De afgelopen pakweg tien jaar is behoorlijke vooruitgang geboekt in de beschrijving van soft controls. Voor operational auditors en voor managers kan de soft control immers zelf onderwerp van onderzoek zijn. Het kan zinvol zijn te bedenken welke soft controls je als management wil hebben, en welke feitelijk aanwezig zijn.

Maar wat moet de certificerend accountant daar mee?

Gerard Dirven concludeert dat de zogenaamde hard controls alleen betrouwbaar zijn indien ze zijn ingebed in relevante soft controls. Vanuit Simons of COSO zou ik zeggen dat de werking van control activities (COSO) of internal controls (Simons) aan betekenis wint of verliest door onder andere de control environment, monitoring en information systems (COSO) ofwel de belief systems, interactive control systems, boundary systems en diagnostic control systems (Simons).

Zowel COSO als Simons als controle volgens de COS vergen een goed begrip van het onderscheid tussen al deze context en de control activities zelf. Deze controls zijn in het informatiesysteem, in de gegevensverwerkende processen opgenomen controls die bijdragen aan de kwaliteit van de verwerkte data.

De termen "soft controls" en "hard controls" suggereren dat het om twee varianten van hetzelfde gaat. Maar in de praktijk blijkt dat als gesproken wordt over "soft controls" zelden controls worden bedoeld die in gegevensverwerkende processen zijn opgenomen, maar om de eerder genoemde context waarbinnen procescontrols functioneren.

Wil de certificerend accountant verder komen met soft controls, als basis voor audit evidence, op de manier die Gerard Dirven aanduidt, dan moet dit onderscheid scherper worden gemaakt.

De werking van soft controls in brede zin, dus in domeinen als control environment of belief systems, is al jarenlang onderdeel van de accountantscontrole. De accountant dient nu al controlebewijs te verzamelen over deze soft controls.

De werking van soft controls als onderdeel van de control activities is het lastige punt. En in alle eerlijkheid, hoewel ik denk dat aantoonbaar is dat het KAN, ik heb nog geen enkel voorbeeld gezien in Nederland of internationaal waar het daadwerkelijk gebeurt.

De liefhebbers van het onderwerp hebben naar mijn overtuiging te sterk de neiging vanuit een zeker wensdenken onnauwkeurig om te gaan met de audit-methodologische kant van het verhaal, terwijl de sceptici mogelijk iets te sceptisch zijn over de theoretische haalbaarheid van soft controls als control activities.

Kortom, ik denk dat Gerard Dirven gelijk heeft, en dat het heel hoog tijd wordt dat onze wetenschappers hier stappen in zetten.

Wat vindt u van deze opinie?

Reageer Spelregels debat

Arnout van Kempen di CCO CISA is directeur compliance & risk bij aaff, de fusieorganisatie van Alfa en ABAB. Hij schrijft op persoonlijke titel.

Gerelateerd

56 reacties

Hans Hoekstra

AT:Gerard: ok dan verschillen we van mening. Ik zou je mening nog wel eens willen vernemen na het volgen van de training Soft Controls waar jij e.a. hieronder aan refereerden. En verder: ik heb in het verleden bij PWVC gewerkt en daar gebruikten we in de jaren 90 formulieren voor het vastleggen van de ACE, oftewel Assessment Control Environment. De vragen die daar gesteld warden moisten wel degelijk beargumenteerd en gedocumenteerd beantwoord worden. Zo had je nog enkele andere formulieren, waaronder het EXIN formulier, waarin je externe en interne factoren tegen het licht ging houden. Mid jaren 90 zijn deze formulieren op een wat andere wijze teruggekomen in het CLASS dossier, het eerste geautomatiseerde controledossier dat door een big 4 werd gebruikt. Ik weet niet wat jij er bij BDO aan hebt gedaan, maar blijkbaar niet iets wat je als audit evidence gedocumenteerd hebt.

Gerard Dirven

AT:Hans Hoekstra Beste Hans, Dit is eigenlijk wel het laatste dat ik erover wil zeggen. Ik heb helemaal nooit beweerd dat soft controls voor de accountant niet relevant zijn en ook niet dat ze als zodanig niet te toetsen zouden zijn. Ze zijn wel degelijk relevant voor de risico perceptie over de onderneming. Ik plaats ze alleen in de randvoorwaardelijke hoek omdat ze als zodanig geen audit evidence opleveren. Een goede gedragscultuur verhoogt de waarschijnlijkheid dat hard controls integer functioneren. Een slechte gedragscultuur verhoogt de waarschijnlijkheid dat hard controls niet integer functioneren. De hard controls leveren de uiteindelijke audit evidence die we nodig hebben, waarbij we ons ervan moeten vergewissen dat hun werking integer is. Dat bijv de paraaf representeert dat de controlehandeling ook feitelijk en juist is uitgevoerd en niet bijv onder dwang is gezet of in het geheel niet wordt uitgevoerd.

Hans Hoekstra

AT:Gerard (2): jouw interpretatie van de COS waaraan je refereert, deel ik niet dat mag duidelijk zijn. En verder: de COS zijn overigens een minimum vereiste, dat betekent dat je als accountant best meer mag doen. Het puur afwerken van regeltjes is niet ons vak toch? Al lijkt het daar wel op helaas. Zoals hier eerder geroepen is het onderscheid maken tussen hard en soft controls misschien ook geen goed idee. Het is een samenspel van beide en daar zul je als accountant aandacht aan moeten schenken. Daar had ik mee te maken toen ik onlangs een groot fraude onderzoek uitvoerde. Het sec bekijken en beoordelen van documentatie was niet alleen doorslaggevend om (formele) beheersmaatregelen te herijken. Het bleek dat ook de wijze waarop met elkaar werd omgegaan een relevante factor was bij de beheersing van het proces dat ik aan het beoordelen was. En dat heeft alles te maken met normen en waarden die je met elkaar afspreekt en waarop je elkaar kan aanspreken. Dat leidt wel degelijk tot evidence, of in dit geval het ontbreken daarvan. In de gesprekken die ik met Hoffmann Bedrijfsrecherche heb gehad, zijn deze cultuur aspecten vaak aan de order geweest. En verder: dan ben ik ook wel eens benieuwd naar je invulling van de zg. 'tone at the top', waar tegenwoordig ook trainingen voor zijn.

Wim Nusselder

Hoi Arnout, Je verwijst naar dit onderscheid: “- soft controls als onderdeel van control environment, belief systems, etc. - soft controls als onderwerp van audit - soft controls als controls ter beperking van data-fouten in gegevensverwerkende processen/transacties.” Ik probeerde het te hebben over soft controls in de derde zin: medewerkerstevredenheidsonderzoeken en vragenlijsten zoals beschreven door Jan B., die uitsluitsel geven over de mate waarin medewerkers hart hebben voor de zaak en zich als informele ‘mede-eigenaars’ ervaren, zijn m.i. bewijs van de werkzaamheid van soft controls. Ik denk dan aan soft controls als (in het geval van de internationale hulpwereld waarin ik verkeerde) het regelmatig naar Nederland halen van medewerkers van landenkantoren om hen het gevoel te geven dat ze ‘erbij horen’ en hen feeling te geven met datgene waar de organisatie voor staat, zodat ze minder neiging hebben tot fraude en andere wanprestaties jegens de organisatie als geheel. Als jij dat leest als verwijzend naar soft controls in de eerste zin, dan zou dat er op kunnen wijzen dat jouw 3 categorieën elkaar niet uitsluiten. Met andere woorden: onderdelen van het control environment kunnen bijdragen aan beperking van data-fouten in gegevensverwerkende processen/transacties.

Hans Hoekstra

AT:Leen Paape: idd, de training die ik in 2006 (of was het 2007) heb gehad (tiitel: auditing van soft controls: een onmogelijke opgave?) werd door Jan Otten gegeven. Het was de eerste training destijds en na feedback van de deelnemers is besloten de opzet aan te passen. Hoe ie er nu uit ziet, daar ben ik wel benieuwd naar.

Hans Hoekstra

AT:Gerard: mooi, zo'n verwijzing naar de COS, maar wat moet ik ermee? Wil je hiermee stellen dat ik alles vlgs COS zou moeten doen en mijn gezond boeren verstand zou moeten uitschakelen? Het is juist deze interne beheersomgeving waar ook de soft controls deel van uit maken en, zoals gesteld, deze kun je wel degelijk waarnemen. Wat ik overigens in je reactie helaas niet aantref is feedback op de uitwerking van mijn voorbeeld.

Hans Hoekstra

AT: Arnout: leuk voorbeeld. Vastgesteld dat gedragscode slechts papier is. Echter: het voorbeeld dat ik gepoogd heb te geven is niet het enige voorbeeld waaraan je zou kunnen denken. Jouw exercitie schiet dan ook tekort voor het deponeren van de stelling dat soft controls geen audit evidence leveren. Dat doet ie, in jouw doorgetrokken voorbeeld, dus wel degelijk. De medewerker ondertekent maar handelt er niet naar. En dat is precies wat er bij enkele grotere failures van het afgelopen decennium ook is gebeurd.

Gerard Dirven

AT: Hans Hoekstra Beste Hans, Magazijnmeester Y van onderneming X krijgt bij zijn indiensttreding de gedragscode uitgereikt, gaat een dag naar training en ondertekent een verklaring waarin hij plechtig belooft de gedragscode te allen tijden na te leven. Vervolgens steelt hij het magazijn leeg omdat er geen interne inventarisaties plaatsvinden. Wat kan ik als controlerend accountant met zo een soft control?

Gerard Dirven

AT: Hans Hoekstra Beste Hans, Voor het antwoord op jouw vraag over het beoordelen van de control environment verwijs ik naar NV COS 315 A83 'A83. De interne beheersingsomgeving op zich kan een afwijking van materieel belang niet voorkomen of detecteren en corrigeren. Zij kan echter wel van invloed zijn op de evaluatie door de accountant van de effectiviteit van andere interne beheersingsmaatregelen (bijvoorbeeld de monitoring van interne beheersingsmaatregelen en de werking van specifieke interne beheersingsactiviteiten) en bijgevolg op de inschatting door de accountant van de risico's op een afwijking van materieel belang.' De beoordeling van de interne beheersingsomgeving is dus wel van belang voor de risico inschatting door de accountant, maar kan als zodanig afwijkingen van materieel belang niet voorkomen, detecteren of corrigeren. Daarvoor zijn echt de hard controls nodig.

Hans Hoekstra

@'sfeer beeld': ja daar lijkt het wel op, echter zoals door mij gepoogd aan te geven wel degelijk aan te tonen. Al zouden meer en betere meetinstrumenten welkom zijn. Daarom is een instroom van mensen met een andere dan accountantsachtergrond ook een g

Hans Hoekstra

Hoe weet je nu als externe auditor (of toezichthouder e.a.) of dit een bruikbare tool is? Hiervoor zijn verschillende toetsmethoden te bendenken: - je kunt eens gaan kijken of medewerkers bij indiensttreding dit document overhandigd krijgen -> dit betekent een beoordeling en vastlegging van het indiensttredingsproces: welke documenten krijgen de nieuwe mwers in handen (of via intranet/mail) - je kunt vaststellen of er bij trainingen aandacht wordt gegeven aan de gdragscode (normen en warden) -> opvragen trainingen (ppt/hardcopy of anderzins) en vaststellen welke informatie wordt aangetroffen - je kunt in reclame uitingen vaststellen of er elementen van de gedragscode in terugkomen.(zie voorgaand punt) - je kunt door klachten van klanten vaststellen of het bedrijf in overeenstemming handelt met de gedragscode-> kennisnemen van klachtenregistratie, doornemen aard klachten (denk nog maar s aan DSB.....) - je kunt medewerkers interviewen en vaststellen of ze bekend zijn met de gedragscode. -> vragenlijst opstellen en doornemen met mwers. Tsja, het is allemaal niet vergelijkbaar met het checken van een paraaf op een factuur of vastlegging in een applicatie, maar het is niet anders. Ik vraag me overigens wel of wat jullie dan denken te doen met het beoordelen van de control environment, toch doorspekt met sof controls. Vanmiddag deze reactie ook proberen te plaatsen, maar blijkbaar niet doorgekomen.

Gerard Dirven

AT: Jan Bouwens Ik ben zeer benieuwd Jan en Arnout. Houd ons aub op de hoogte!

Jan Bouwens

AT:Gerard Je stelt de vraag die ik ook had willen stellen. De vragen die worden gesteld geven een sfeerbeeld, maar geen assurance. Toch lijkt er beweging te zijn op dit gebied. Binnenkort ga ik met Arnout praten.

Gerard Dirven

Beste Hans, Welke audit evidence levert mij dit op?

Hans Hoekstra

Soft controls bevinden zich o.a. in de cultuur van een organisatie, bijvoorbeeld hoe gaan wij als medewerkers om met elkaar en wat vinden wij daarbij belangrijk. Veel organisaties hebben een gedragscode daarvoor in het leven geroepen. Hoe weet je nu als externe auditor (of toezichthouder e.a.) of dit een bruikbare tool is? Hiervoor zijn verschillende toetsmethoden te bendenken: - je kunt eens gaan kijken of medewerkers bij indiensttreding dit document overhandigd krijgen - je kunt vaststellen of er bij trainingen aandacht wordt gegeven aan de gdragscode (nromen en warden) - je kunt in reclame uitingen vaststellen of er elementen van de gedragscode in terugkomen. - je kunt door klachten van klanten vaststellen of het bedrijf in overeenstemming handelt met de gedragscode. - je kunt medewerkers interviewen en vaststellen of ze bekend zijn met de gedragscode. Nog meer toelichting gewenst op dit voorbeeld?

Gerard Dirven

AT: Hans Hoekstra, Kom dan toch maar eens met dat voorbeeld. Dat zou voor mij misschien verhelderend werken.

Hans Hoekstra

He Arjan, das nu jammer dat je de discussie stopt. En dan ook nog vanwege een vermeend problem hoe soft controls geaudit kunnen worden. Kijk, soft controls kunnen wel degelijk geaudit worden. Daar was ik in 2006 en 2007 nieuwsgierig naar en toen ik een NBA training over Auditen van soft controls zag staan, kwam ik terecht bij de eerste try out van deze training. En, ondanks de manco's in de traning, kwam ik er wel vandaan met het idee dat soft controls te auditen zijn. Je moet er wel voor open staan en niet alleen gewend willen zijn formele controls te auditen (bijv handtekeningen, application controls ed). Ik kan hier wel voorbeelden van soft controls gaan geven en hoe dez geaudit kunnen worden, maar ik raad iedereen aan die training over auditen van soft controls eens te gaan volgen. Das beter dan hier wat (oeverloos) discussieren of het al dan niet kan. Het kan, geloof me.

Pieter de Kok

Wanneer je een schip wilt gaan bouwen breng dan geen mensen bijeen om timmerhout te sjouwen of te tekenen alleen. Voorkom dat ze taken ontvangen, deel evenmin plannen mee, maar leer de mensen verlangen naar de eindeloze zee. (Uit Citadelle, Antoine de Saint-Exupéry) Kijk fijne mensen, als we nu eens proberen ons mooiste vak en het dat van onze clienten vanuit dit perspectief te beschouwen, en dan de kracht van soft controls ervaren, dan komen we vooruit. Op de Accountantsdag is er overigens tijdens een deelsessie van collega Angelique Koopman, die een vijfjarig promotieonderzoek doet op dit thema, aandacht voor dit mooie onderwerp.

A. van Kempen

Beste Jan, Dit is wat mij betreft bekende theorie. Sterker, dit is volledig onderdeel van de audit theorie en regelgeving (!!) van de afgelopen twintig jaar. Het is mooi dat dit domein eindelijk een beetje invulling krijgt, hooguit wat laat. Ook het tweede domein dat ik benoemde, vooral interessant voor Operational audits, begint aardig vorm te krijgen. Daar zijn universiteiten mee bezig, ook Leen heeft dat in zijn universiteit sinds kort in het aanbid zitten. Heel mooi allemaal. Waar Gerard twijfels over heeft geuit, waar ik 100% zeker van weet dat het kan, maar waar geen Jan Otten, Muel Kaptein of Leen Paape invulling aan heeft gegeven of, naar mijn waarneming, invulling aan probeert te geven, is de soft Control als control activity bruikbaar voor de audit. Na 60 reacties in twee topics, weet ik dat Leen verdrietig is en denkt dat Gerard en ik een bord voor ons hoofd hebben, dat mensen die wel inhoudelijk reageren grotendeels niet in gaan op het punt dat Gerard en ik maken, en dat we geen stap verder komen. Ik weet niet zo goed waarom het echte onderwerp zo stelselmatig genegeerd wordt, of waarom Leen zo verwijtend reageert zonder zelf iets inhoudelijks te zeggen. Ik constateer twee dingen: 1 ik weet volstrekt zeker dat soft Controls kunnen werken op de manier die Gerard en ik bedoelen in een zeer specifieke door mij onderzochte situatie. Iemand ZOU kunnen vragen: goh Arnout, dat zeg je nu al een aantal maal, kom eens praten met een wetenschappert die met jouw constatering kan nadenken over mogelijkheden daar vervolgstappen mee te zetten in het domein van de soft Control activities. Dat gebeurt echter niet. 2. Er bestaat kennelijk een groot belang, wellicht in het aanbieden van cursussen, om de vervelende constatering dat wat onderwezen wordt NIET is wat gevraagd wordt, tot zwijgen te brengen. Ik merk al jaren, ja óók in gesprek met Jan Otten bijvoorbeeld, dat de derde insteek van soft Controls die ik heb benoemd simpelweg niet wordt ingevuld en geen aandacht krijgt. Een toezegging van één van de autoriteiten in dit domein om een praktijksituatie te bespreken waarin volgens deze autoriteit wel invulling zou worden gegeven aan het punt dat ik benoem, is nooit nagekomen. We komen geen steek verder zo. En ik ben negatief onder de indruk van de wijze waarop deze discussie verloopt, dus ik stop er ook mee hier.

Jan Bouwens

AT:Arnout, sorry bericht hier onderer is van mijn hand. Zelfdenkende computers moet ik niets van hebben :)

J

AT:Arnout Zoals je in je stuk als stelt is het definiërend onderscheid tussen hard controls en soft controls dat hard controls verifieerbare zekerheid geven (een controle is wel of niet gedaan) terwijl soft controls buiten de gegevensverwerkende processen worden uitgevoerd. Soft controls raken uitsluitend de context waarbinnen procescontrols functioneren. Indien binnen een bank de afwezigheid van een egoïstische cultuur op basis van soft controls wordt vastgesteld dan zegt dat iets over de risico’s die het bedrijf loopt dat medewerkers het voortbestaan van het bedrijf in gevaar brengen. Zo geeft deze soft control inzicht in de waarschijnlijkheid dat medewerkers klanten proberen een loer te draaien via hard selling, of collega-medewerkers op achterstand te zetten door hun projecten te killen. De uitkomst van de soft-control geeft echter geen hard bewijs voor de afwezigheid van hard selling of oncollegiaal gedrag. Binnen familiebedrijven stellen we vaak een sterke sociale structuur vast. Medewerkers en familie voelen zich sterke met elkaar verbonden. Maar of dit ook betekent dat er geen onoorbare zaken voorvallen? We hebben toch de harde controls met al hun beperkingen nodig om dit vast te stellen. Sterker, hier ligt een cruciale rol voor de accountant, namelijk daar waar de leiding een vertrouwensbreuk zou forceren door een harde control toe te passen, heeft de accountant WEL de gelegenheid dit te doen, zonder dat de relatie tussen leiding en medewerker word gebruuskeerd! Kortom, de accountant helpt het bedrijf door vast te houden aan harde controls. Hiermee is niet gezegd dat de accountant geen gebruik zou maken van zachte controls om vast te stellen hoe goot het risico is dat medewerkers normen overschrijden.

A. van Kempen

Wim, wat jij beschrijft is de eerste van de drie vormen waarin we naar soft controls kijken. Daar is veel goeds in gaande, maar dat is niet de vorm waarover Gerard en ik het hebben, de derde vorm die ik beschreef: soft controls als onderdeel van de control activities. Een "hard control" is dan een control-activiteit die zichtbare sporen nalaat of die ik door waarneming ter plaatse kan waarnemen, ik heb dus "hard" bewijs van de formele werking (niet hetzelfde als de werkzaamheid!) van de control. Een "soft control" is dan een control-activiteit die geen, of zeer beperkt zichtbare sporen nalaat en die ik evenmin door waarneming ter plaatse kan waarnemen, ik mis dus "hard" bewijs van de formele werking van de control. Wil ik soft controls als control activities kunnen gebruiken in de audit, dus als deel van de deugdelijke grondslag voor een audit opinion bij een assurance object, dan heb ik een bewijsvorm nodig van de formele werking, of nog liever van de werkzaamheid, van de control. Dat is waar de discussie (voorzover die inhoudelijk gevoerd wordt en niet slechts bestaat uit de bewering dat deelnemers aan deze discussie er niets van begrepen hebben) over gaat. De discussie over de eerste twee vormen van soft controls die ik beschreven heb loopt er dorheen, maar dat is vooral gevolg van onzorgvuldigheid bij het identificeren waarover Gerard en ik het hebben.

Wim Nusselder

Mag ik ‘soft controls’ en ‘hard controls’ onderscheiden als cultuur (beschrijfbare en kwalitatief toetsbare ‘zo hoort/gaat het hier nu eenmaal’ gedragsbepalende factoren) en structuur (beschreven en op naleving toetsbare procedures)? Cultuur, met als meest relevante dimensies - de mate waarin werknemers hart voor de zaak hebben dan wel er zoveel mogelijk voor zichzelf uit willen halen en - de mate waarin werknemers zich vereenzelvigen met ‘hun’ werkgever (zich als ‘mede-eigenaar’ ervaren) dan wel zich daar ‘naast’ of zelfs ‘tegenover’ plaatsen, is meetbaar met een een standaard gebenchmarkt medewerkerstevredenheidsonderzoek of met een vragenlijst zoals van Jan B. Bij een hogere score op deze dimensies hoef je als accountant lagere eisen te stellen aan de (AO/IC-)structuur bij je systeemgerichte controle. Er is minder functiescheiding nodig, e.e.a. hoeft minder beschreven te zijn, er hoeft minder systematisch en aantoonbaar getoetst te worden op naleving van relgels etc.. Het enige wat mij nodig lijkt is enige overeenstemming in de beroepsgroep over de vraag hoeveel positieve afwijking van het gemiddelde op die dimensies ‘recht’ geeft op hoeveel soepelheid bij de systeemgerichte controle.

A. van Kempen

Met Jan Otten heb ik allang gesproken. Niet te makkelijk aannemen dat een ander niet weet waarover hij praat Leen.

Pieter de Kok

Of met mensen van de RedZebras, Peter Paul Leutscher. Verbinding, verbreding, verdieping, verrijking, dat is wat ons vak nodig heeft.

Leen Paape

mag ik jullie adviseren eens met Jan Otten te speken, hij doceert aan de EUR voor operational auditors en kent Weick al lang (en anderen). Het zou te wensen zijn als er verder wordt gekeken dan in eigen kring.

Peter. van dam

Zo zie je maar....."".hard"" is een beetje "" soft "" Kijk om je heen ( environment ) en begrijp beter wat er zoal in de onderneming plaats vindt....... cést le ton qui fait la musique...... te veel gevraagd van de accountant daar open oor voor te hebben ....????

Jan Bouwens

AT:Gerard en Hein Ik vraag me af of controlerend accountants harde controls ooit kunnen loslaten. De bedoelingen kunnen nog zo goed zijn, dan nog zal er controle plaats moeten vinden op ongeoorloofd gedrag. Punt van orde is dat mensen het beste voor mogen hebben met hun organisatie en zij daarbij ook in alle opzichten worden doordrongen van de noodzaak tot integer handelen. Maar wat is dan integer handelen als er problemen rijzen rondom de entiteit? Is dan niet juist de betrokken medewerker geneigd ‘alles’ uit de kast te halen om de problemen het hoofd te bieden. Of ‘alles uit de kast’ dan te veel is naar de normen van het maatschappelijk verkeer kan alleen maar worden vastgesteld met harde controls.

Gerard Dirven

AT:Hein De sprong voorwaarts die kunnen steunen op de werking van soft controls ons zou moeten brengen is dat het de werking van de interne beheersing op een hoger en daarmee efficiënter niveau zou brengen. Althans zo stel ik mij dat voor. Bijvoorbeeld wij hebben vastgesteld dat de verkoopmedewerkers van de onderneming integer zijn en zij zullen daarom nooit (expres) teveel korting weggeven. Ik hoef de juistheid van de kortingen niet meer (systeem- danwel gegevensgericht) te controleren want er is sprake van een effectief werkende soft control. Als je het hebt over vervangbare en onvervangbare interne beheersingsmaatregelen spreek je meer over de efficiency van de controle uitvoering. Vervangbare interne beheersingsmaatregelen kunnen systeemgericht of gegevensgericht worden gecontroleerd. De accountant kiest de meest efficiënte strategie. Kunnen steunen op soft controls kan de systeemgerichte benadering eerder efficiënt maken, vanwege het hogere plan van opereren. Rest de vraag of soft controls een oplossing kunnen bieden voor onvervangbare interne beheersingsmaatregelen, want die vormen nu een probleem voor onderneming en accountant en leiden, indien materieel, tot aanpassing van het oordeel van de accountant. Ik zou me kunnen voorstellen dat effectief werkende soft controls daarvoor geheel of gedeeltelijk een oplossing zouden kunnen bieden. Bijvoorbeeld bij een hiaat in de functiescheiding die dan geen probleem meer hoeft te zijn. Maar dan moeten we wel de betreffende soft control kunnen benoemen en de effectieve werking daarvan op de ontbrekende functiescheiding kunnen vaststellen. En zover zijn we (nog?) niet.

A. van Kempen

AT:Gerard: tot groot genoegen! AT:Hein: Ik weet wel zeker dat we moeten zoeken bij psychologen en sociologen. Voor mijn scriptie las ik Weick, onder anderen, en ik vond het bijna schokkend wat bij hem aan bruikbare theorie en tools te vinden zijn voor ons omderwerp, en allemaal al tientallen jaren gesneden koek voor organisatiekundigen! En wij, simpele auditors, hebben zijn werk niet in ons curriculum. Lees het, en je zal vermoedelijk mijn gevole delen, het gevoel dat je iets briljants ontdekt, iets dat zo goed past bij wat auditors doen, en dan bedenken hoe mensen uit andere vakgebieden je een beetje meewarig aankijken met de vraag "joh, kende je dit echt nog niet?" Een ander punt: de vervangbare en onvervangbare interne beheersing. Daar valt op zich al een boompje over op te zetten. Wat, vind je, is echt "onvervangbaar", en wat betekent dat precies?

Hein Kloosterman

Ik heb de discussie gevolgd. Ik heb geprobeerd reactie te krijgen op de stelling dat voor het meten van gedrag in de onderneming gebruik moet worden gemaakt van instrumentarium uit de gereedschapkist van de socioloog of psycholoog. Nu zie ik in het laatste deel van de discussie steeds terug komen dat er evidence nodig is over de interne beheersing. Uiteraard is dat zo. Maar het doel van de evidence is mij niet duidelijk geworden. Gaat het om evidence over de onvervangbare interne beheersing of over het vervangbare deel? Als het gaat om de onvervangbare interne beheersing dan is het werk dat daarvoor moet gebeuren randvoorwaardelijk en kan niet ontbreken (conditio sine qua non). Als het gaat om vervangbare interne beheersing, dan heeft dat werk (alleen) betekenis voor de reductie van de steekproefomvang ten behoeve van de gegevensgerichte controle. Dus: als het 'meten' van de werking van de soft controls alleen betekenis heeft voor de reductie van de hoeveelheid gegevensgerichte controles is het toch controleren van die reductie een (om niet te zeggen dé) oplossing.

Gerard Dirven

AT:Arnout Beste Arnout. Ik heb Jan Bouwens gisteren bedankt voor de tijd en moeite die hij heeft genomen in de discussie over soft controls. Maar dan mag ik jou uiteraard niet vergeten. Dus bij deze, hartelijk dank voor je actieve participatie in deze boeiende discussie. Dit geeft mij tevens de gelegenheid om eea vanuit mijn gezichtsveld nog eens kort samen te vatten. De ontwikkeling van soft controls is (nog) niet zover dat zij bruikbare controle informatie voor de certificerend accountant oplevert. Bij MKB controles hoor ik in het veld, bij organisaties met leemtes in hun interne beheersing, nog weleens opmerkingen in de trant van 'maar er zijn ook nog de soft controls'. Deze opmerkingen moeten wat mij betreft gepareerd worden met de vraag: Welke soft controls bedoel je precies? En hoe heb je werking ervan vastgesteld? Geen bevredigend antwoord is geen bruikbare controle informatie. Soft controls blijken daarentegen wel degelijk van belang voor het efficiënt, effectief en succesvol functioneren van organisaties (zie de onderzoeken waar Jan Bouwens) naar refereert). Voor de certificerend accountant zijn ze in die zin van belang dat een goede gedragscultuur binnen een organisatie waarschijnlijk positief werkt op de integriteit van de hard controls. Anders geformuleerd een slechte gedragscultuur kan weleens compromitterend werken op de hard controls. De audit evidence is dan niet wat het lijkt. We kunnen dus nog niet anders dan steunen op de hard controls, maar moeten ons steeds terdege afvragen of de werking ervan integer is.

Jan Bouwens

AT: Geratd Graag gedaan. Ik spreek over niets liever dan inhoud.

Gerard Dirven

Beste Jan, Hartelijk dank voor de tijd en moeite die je hebt genomen om deze discussie met mij te voeren. Ik ben er in ieder geval het nodige wijzer van geworden. Met vriendelijke groet, Gerard Dirven

Jan Bouwens

AT: Gerard, Geen volledige zekerheid. uiteindelijk zul je toch naar de output moeten kijken om dat oordeel te stellen. We zijn dan toch terug bij de harde controls! In het onderzoek dat ik uitvoerde met mijn collega's waarin ik het instrument toepaste, stellen we vast dat in organisaties waar 'zelf' voorop staat, mensen minder hard werken en dat winst manipulaties zich vaker manifesteren.

Gerard Dirven

Beste Jan, Welke zekerheid levert mij dit als certificerend accountant nu concreet op in het geval hoog / laag op deze vragen wordt gescoord? Welke interne beheersingsrisico's worden er aantoonbaar mee gemitigeerd?

Jan Bouwens

AT:Gerard Helaas staan soft controls ook slechts softe maatstaven toe. Ik gebruik onderstaande maatstaf in mijn onderzoek met collega's Abernthy, Hofmann en Van Lent.: 1. In hoeverre bent u het eens met onderstaande uitspraken? 1= geheel mee oneens, 2= in sterke mate oneens, 3= overwegend oneens, 4= noch eens noch oneens, 5= overwegend eens, 6= in sterke mate mee eens, 7= geheel mee eens a. Mensen in deze organisatie stellen hun eigen belang boven dat van anderen. b. Mensen op mijn afdeling zijn zeer bezorgd over wat het beste voor hen persoonlijk is. c. De mensen die hier werken zijn er bovenal voor zichzelf d. Mensen in dit bedriif afdeling denken eerst aan hun eigen welzijn wanneer een moeilijke beslissing voorligt. e. Binnen de orgnisatie is de voornaamste zorg het eigen persoonlijke voordeel. f. Binnen de orgnisatie wordt verwacht dat je altijd zal doen wat goed is voor de samenleving. g. De mensen in mijn organisatie hebben een sterk gevoel van verantwoordelijkheid tegenover de maatschappij en de mensheid. h. Dat wat het beste is voor iedereen in de organisatie is leidend. i. De belangrijkste zorg is het welzijn van alle mensen van de organisatie. j. Mensen binnen mijn bedrijf zijn actief bezorgd over de belangen van collega’s. Dit meet opnieuw niet direct of ongeoorloofd wordt gehandeld. Overigens kan een auditor heel goed meten of er sprake is van abnormale lekkage of niet. Maar dat is neem ik aan NIET waar je op doelt.

Gerard Dirven

Beste Jan, We praten zeker niet langs elkaar heen. Ik begrijp heel goed dat omstandigheden de kans beïnvloeden of management of medewerkers (on)geautoriseerde beslissingen nemen. Hoe gunstiger de omstandigheden hoe hoger de kans dat integer wordt gehandeld en daarom van belang. Maar hoe komen we nu zover dat we bijvoorbeeld de mate van integriteit van verkoopmedewerkers kunnen meten en daaraan de conclusie kunnen verbinden dat geen ongeautoriseerde kortingen worden verleend omdat het integriteitsniveau in orde is bevonden. Dan pas heb ik als certificerend accountant mijn audit evidence en heb ik er iets aan.

Jan Bouwens

Beste Gerard, Ik snap dat je antwoorden wil op vragen als worden geen ongeautoriseerde kortingen verleend, wordt alleen betaald voor goederen / diensten die zijn geleverd of worden alle verplichtingen tijdig geregistreerd. Waar het dan toch om gaat is of de omstandigheden waaronder medewerkers opereren het (on)waarschijnlijker maken dat hiervan sprake is. De wijze waarop Beer hier bijvoorbeeld naar kijkt is te bezien of medewerkers zonder medeweten van anderen beslissingen nemen. Falk en Kosfeld nemen het perspectief van de mate waarin het bedrijf voorafgaande aan een accountingperiode eisen stelt aan de prestaties van de medewerker. Een mooi voorbeeld van Falk tref je in een boek van David Packard; HP Way: How Bill Hewlett and I Built Our Company. Toen hij bij GE werkte vond hij dat gereedschap zich achter slot en grendel bevond en dat medewerkers er een sport van maakten zaken ‘te lenen’. Het eerste dat hij deed is dit fenomeen afschaffen binnen HP, en met succes! Bedoelde omstandigheden beïnvloeden de kans of medewerkers (on)geautoriseerde beslissingen nemen. Maar wellicht praten we toch langs elkaar heen?

Gerard Dirven

Beste Jan, Ik heb even naar een extract van het boek van Beer op google gekeken. Zonder nu te pretenderen alle ins en outs van het gedachtengoed van Beer te kennen zie ik niet hoe ik daar als certificerend accountant iets mee kan. Het gaat mij er als certificerend accountant niet om of een onderneming goed of slecht presteert, of er een hoog werknemers commitment is of niet, of de onderneming succesvol is of niet. Het gaat mij erom dat de jaarrekening een getrouwe financiële vertaling is van wat zich binnen die organisatie afspeelt. Ik wil antwoorden op basale vragen als: - worden alle goederen die de onderneming verlaten gefactureerd - worden de juiste prijzen gefactureerd - worden geen ongeautoriseerde kortingen verleend - wordt alleen betaald voor goederen / diensten die zijn geleverd - worden alle verplichtingen tijdig geregistreerd en zo kan ik nog een tijdje doorgaan. Wat ik kan snappen is dat als management en werknemers hogelijk gecommitteerd en zeer gemotiveerd zijn om de belangen van de onderneming te dienen, de kans kleiner is dat deze zaken fout gaan. In die zin zie en onderschrijf ik het belang van soft controls, maar ik wil het wel graag bevestigd blijven zien vanuit de werking van de hard controls. Bij highly committed organizations hoef ik mij waarschijnlijk minder zorgen te maken over de integriteit van de hard controls en het eventueel achterhouden van relevante informatie en dergelijke. Maar de soft controls - even simpel vertaald in het gedrag van management en medewerkers - als zodanig leveren mij geen bruikbare controle informatie. Maar misschien begrijp ik het wel niet. Dat kan natuurlijk ook.

A. van Kempen

Jan, vandaar mijn uitnodiging om het eens handen en voeten te geven. Wellicht heb je gelijk, wellicht praten we langs elkaar heen.

Jan Bouwens

AT: Arnout Ik citeer je "De werking van soft controls als onderdeel van de control activities is het lastige punt. En in alle eerlijkheid, hoewel ik denk dat aantoonbaar is dat het KAN, ik heb nog geen enkel voorbeeld gezien in Nederland of internationaal waar het daadwerkelijk gebeurt." Zie dus het werk van Beer. In zijn werk wordt de werking behandelt. Mij dunt dat je eerste de werking moet kennen, alvorens je kunt gaan meten (controleren) of de soft controls aanwezig/afwezig zijn.

A. van Kempen

Jan, Dan is de cirkel weer rond. De lacune waarop Gerard wees, en die ik heb gerracht specifieker te maken, wordt dus niet afgedekt door de literatuur waar je naar verwees. Dat verbaast me niet. Ik heb, zoals eerder aangegeven, voor mijn scriptie een heel specifiek proces onderzocht, waarbij valt aan te tonen dat soft controls, uit de hoek van de belief systems volgens Simons, werken en aantoonbaar werken. Zozeer, dat ik daar wel een audit opinion op zou durven baseren. Wat mij betreft is er geen twijfel, het kan. Maar ik zie simpelweg niemand de stap maken naar het soort processen waar "normale accountants" zich mee bezig houden. Zolang dat niet gebeurt, moeten we vooral door gaan met soft controls als onderdeel van de control environment, met het beschrijven, en met het onderzoeken van die comtrols zelf. Op dit moment kunnen we kennelijk niets meer. Maar ik hou staande, en zie het nergens weerlegd worden, dat we vooruitgang zien op twee van de drie door mij aangeduide domeinen. Het derde domein wordt niet afgedekt, en als al iemand er mee bezig is, is dat kennelijk tot op heden vruchteloos ploeteren. Nuttig, maar voorlopig vruchteloos.

Arnout

gerard, Ik kan helaas ook niet, anders was ik graga gegaan. Heb wel de voorganger van deze cursus gevolgd, en daar geconstateerd wat ik iedere keer opnieuw constateer: het gaat niet over dat waar jij en ik naar op zoek zijn. De titel van de cursus zegt, ben ik een beetje bang, al genoeg. Auditen VAN soft controls? Mooi voor de operational auditor, en ongetwijfeld echt heel nuttig. Maar wat mist, tenzij Jan gelijk heeft, is "auditen VAN een jaarrekening, MET gebruik maken van soft controls als 'control activities'" Als ik het cursusprogramma lees, is mij wel duidelijk dat dit een cursus wordt zoals ik inmiddels enkele gevolgd heb bij het NBA: - razend interessant - inhoudelijk voortreffelijk, met uitstekende docenten - teleurstellend in het waarnaken van de verwachtingen Volgens de omschrijving van de cursus gaat het, opnieuw, over "soft controls" in de control environment en nadrukkelijk NIET over soft controls in de control activities, om de COSO-termen te blijven gebruiken. Dat is een boeiend onderwerp, en buitengewoon relevant. Gezien wat ik accountants in de praktijk zie doen, zou die cursus tien keer overtekend moeten zijn. Maar het gaat gewoon niet over het onderwerp waar wij het nu over hebben. Niet een beetje, niet ongeveer, maar gewoon niet. Het spijt me als ik het niet aardiger weet te brengen, of als ik een zeikerd ben. Maar voor wat jij zoekt, moet je niet in Garderen zijn, gezien de cursus-beschrijving, en gezien mijn ervaringen met vergelijkbare NBA-cursussen. Nogmaals, zonder iets negatiefs over die cursus te willen zeggen, want ik denk dat het een heel belangrijke, en heel boeiende cursus zal blijken te zijn.

Jan Bouwens

AT: Gerard en Arnout Het werk waar ik naar verwijs gaat in op de werking van controls niet op hoe deze kunnen worden geaudit. Het is zeker de moeite waard om de werking ervan als PE activiteit ana te bieden.

Gerard Dirven

Arnout, De NBA biedt al een 2 daagse training aan onder de titel: Audit van soft controls: wat is de beste manier? 8, 9 december in Garderen. Deze training stond eerst op de rol voor 29 en 30 september maar is toen geannuleerd wegens te weinig inschrijvingen en verplaatst naar 8 en 9 december. Ik had me voor eind september ingeschreven maar kan helaas niet op 8 en 9 december wegens andere cursusverplichtingen. Bij een volgende gelegenheid schrijf ik me zeker in want ik ben zeer benieuwd wat daar wordt gebracht. Dus voordat we het wiel opnieuw uitvinden.

A. van Kempen

Jan, als je tenminste weer in Nederland bent, en Gerard, gezien je wens om met praktische tools aan de slag te gaan: zullen we eens binnenkort met kns drieen bekijken of we een mooie PE-cursus in elkaar kunnen draaien? Als ik goed zie waar je naar verwijst, ben ik er niet zeker van dat daarin de antwoorden staan die Gerard en ik zoeken. Maar we kunnen toch minstens proberen hoe ver we komen, nietwaar? Ik vind het mooi om theoretisch door te bomen, ik vind het nog vele malen mooier als we concreet aan de slag kunnen in de praktijk. Een praktische PE-cursus zou een goede middenweg op kunnen leveren. Dus, bij deze: Jan en Gerard, date doen?

Jan Bouwens

Beste Gerard en Arnout, Er is wel degelijk een literatuur die zich toelegt op wat jullie aanduiden als soft controls. In dat kader wil je graag verwijzen naar het werk van Michel Beer: High Commitment, High Performance: How to Build a Resilient Organization for Sustained Advantage. Het blijkt in dat werk dat alleen handelen van managers Het recept is voor problemtisch gedrag. Ik heb dit werk al eens aangehaald als ene mogelijke richting waar accountantskantoren zelf naar zouden kunnen kijken om te bezien hoe goed hun internal controls werken. Ik wil ook verwijzen naar het analytische werk dat Bob Gibbons en Rebecca Henderson: Gibbons, R. and R. Henderson. 2012. What Do Managers Do? Exploring Persistent Performance differences among Seemingly Similar Enterprises. In: The Handbook of Organizational Economics Edited by Robert Gibbons and John Roberts. Gibbons, R. and R. Henderson. 2012. Relational Contracts and Organizational Capabilities. Organization Science 23(5):1350-1364. In hun analytische werk vragen Gibbons en Henderson zich af waarom organisaties die aan de oppervlakte erg veel gelijkenis vertonen, toch heel veel kunnen verschillen in termen van economische prestaties. Het blijkt dat in hoog presterende bedrijven over de tijd is gewerkt aan het wekken van onderling vertrouwen tussen managers. Als dat vertrouwen eenmaal is gewekt, is men meer bereid om openheid van zaken te geven over het prestatiepotentieel. Ik heb op basis van dit werk gekeken naar hoe target setting binnen de context van autodealers kan helpen vertrouwen tot stand te brengen en te vernielen. Ik wil ook nog wijzen op het werk van Armin Falk en Michel Kosfeld: Falk, A. and M. Kosfeld. 2006. The Hidden Costs of Control, the American Economic review: 96(5): 1611-1629. Zij laten zien dat als de baas vooraf een minimum prestatieniveau stelt, mensen slechter presteren dan wanner de manager zo’n minimum achterwege laat. Jammer genoeg komt dit type werk niet aan de orde bij ons PE punten courses omdat het ‘als te theoretisch’ wordt ervaren. Jammer want ik meen dat dit werk zeer relevant is voor zowel de controlerend accountant en de de AIB’s.

Hein Kloosterman

Een prima onderwerp, soft controls. Zoals al in de discussie aangehaald: het gaat om groepsgedrag. Verklaring en meting van dergelijk gedrag bevindt zich in de sfeer van de psychologie (door de grootte van de groepen misschien sociale psychologie of misschien al sociologie). Nu kunnen we als accountants niet stellen dat we als zodanig zijn opgeleid. Hoewel accountants natuurlijk wel overal verstand van hebben (smile). Als ik kijk naar de takken van wetenschap die zich met het menselijk gedrag bezig houden en de methodologie die daar gebruikt werd (en soms nog wordt) kan ik het boek van A.D. de Groot aanbevelen (Methodologie). Daarin staan uitgangspunten en startpunten naar het meten van gedrag heel gestructureerd behandeld. De benadering gaat niet uit van hydro-digitale methoden. De valideerbaarheid (falsifieerbaarheid) is voor De Groot van groot belang. De technieken die beschikbaar zijn in dat onderzoeksveld zijn sinds het ontstaan van het boek geëvolueerd. Zaken als steekproeven zijn binnen accountantscontrole ook bekend (niet per se bemind). Zachte technieken als aggregating of evidence (uit de school van Shafer, Srivastava) zijn minder bekend, maar worden wel toegepast (in risicoanalyse van de accountantscontrole; vrijwel gelijkwaardig aan Bayesiaanse benaderingen). Kortom, er is wel iets, maar helemaal niets dat werk scheelt (smile).

Arnout van Kempen

Gerard, Ik behoor zelf absoluut tot de "soft controls-optimisten", maar ik constateer teleurstellend weinig begrip bij de apostelen van het onderwerp voor het verschil tussen - soft controls als onderdeel van control environment, belief systems, etc. - soft controls als onderwerp van audit - soft controls als controls ter beperking van data-fouten in gegevensverwerkende processen/transacties. Als accountant doe je, als je je vak verstaat, al vrij veel aan de eerste vorm. Als operational auditor doe je, als je met je tijd mee gaat, al vrij veel aan de tweede vorm. Maar voor certificerend auditors, die een uitspraak over een assurance-object moeten doen, is de derde vorm van belang, en daar schieten we simpelweg nog tekort. Ik pleit niet tegen de huidige ontwikkelingen, onderzoeks- en onderwijsprogramma's, in tegendeel. Maar we helpen de wereld van auditors niet vooruit door te beweren dat de keizer al kleren draagt, terwijl we zover simpelweg nog niet zijn. Laten we elkaar niet voor de gek houden. Als de universiteiten wel al zover zouden zijn, waarom lezen we dan geen enkel wetenschappelijk artikel dat dit punt goed afdekt? Er gebeurt veel goeds. Ik ben er, ook op basis van mijn eigen onderzoekje, vast van overtuigd dat we de laatste stap kunnen en gaan zetten. Maar dat gaat niet gebeuren door het fundamentele probleem waar we voor staan te verdoezelen, mensen die dat onderkennen verwijten te maken. Wetenschap vergt botte eerlijkheid, over successen en over waar het succes nog uitblijft. Ik benader dit onderwerp al van vóór de hype, maar wel als hobbyist. Prima als ik iets gemist heb, maar mij. Ervaring tot op heden is dat degenen die dat beweren na enige discussie laten zien dat ze simpelweg over iets anders praten, namelijk de eerste twee vormen van soft controls. Op de derde vorm heb ik tot nu toe slechts zwijgen ontmoet van de specialisten, de deskundigen, de wetenschappers. Niet erg, maar we komen niet verder zo. Of eerlijk erkennen waar het probleem zit, zodat we weten waarop we ons moeten richten, of helder uitleggen hoe het probleem is oogelost. Dat lijkt me toch echt de taak van wetenschappers, beroepsbeoefenaren, hobbyisten.

Gerard Dirven

Dat is precies wat ik bedoel Arnout. Velen zeggen verstandige dingen over soft controls waar ik conceptueel volledig in mee kan gaan maar niemand levert (nog) iets concreets waar ik iets mee kan. Ik wil bij de uitvoering van mijn financial audits graag gebruik maken van de kennelijke kracht van soft controls maar niemand kan mij aangeven hoe deze op een zodanige manier te operationaliseren dat ik er concreet iets mee kan ter mitigering van het interne beheersingsrisico en daarmee mijn accountantscontrolerisico. Voorlopig kom ik niet verder dan mij proberen een oordeel te vormen over de gedragscultuur binnen ondernemingen om te bepalen of deze een mogelijk integriteitsrisico voor de hard controls opleveren. De bruikbare controle informatie komt daarbij van de hard controls. Ik kijk dus wel degelijk buiten mijn grot maar kan (nog) geen goed gereedschap vinden. Hier en daar lees ik in de reacties dat er wel hard aan schijnt te worden gewerkt. Ik ben benieuwd.

A. van Kempen

Maar goed, de ruimte om hier te reageren is wat beperkt. Ik constateer in de reacties precies het wat onzuivere formuleren vanuit optimistische hoek. Ik deel het optimisme, méér dan je vandaag aan de universiteiten kan leren. Maar ik constateer dat zuiverder formuleren, argumenteren en onderbouwen echt nodig is wil de benodigde grote stap gezet worden. Op dit moment ontbreekt daartoe het benodigde instrumentarium gewoon. Ik heb al gezegd: ik wéér dat het kan, in theorie.

Arnout

Grappig dat ik onder de tekst van Gerard steun krijg en hier net zo makkelijk bestreden wordt :) Voor hetzelfde.

Leen Paape

Beste Arnout, ik denk dat Gerard gelijk binnen de grot van Plato van ons eigen beroep en de kaders die we daarin voor waar aannemen. Buiten die grot is er al heel veel onderzoek gedaan naar wat we gemakshalve soft controls noemen. En ja, het moet nog een plaats krijgen in onze methodieken maar onderzoek op dat terrein heeft ook last van het leven in de grot van Plato. Operational auditors lopen hierin voorop en je kunt aan de EUR en de UvA op dit terrein bekwaamd worden. Zie ook mijn reactie op de column van Gerard.

Wim Nusselder

“De termen "soft controls" en "hard controls" suggereren dat het om twee varianten van hetzelfde gaat.” In zekere zin is die suggestie terecht: het gaat om varianten van controle over gedrag van mensen. Economie en dus ook accountancy gaat over mensen en als je dat depersonaliseert (“gegevensverwerkende processen”) verdwijnt de essentie uit beeld en vaak ook een deel van het risico.

Hans Hoekstra

Kijk, een column moet natuurlijk een pakkende titel hebben. Daar is Gerard aardig in geslaagd. Hij heeft ongelijk. En daarmee, Arnout jij ook. De uitkomsten van soft controls uiten zich wel degelijk in evidence: gedrag van medewerkers en management wat tot uitdrukking komt (of kan komen) in bijvoorbeeld boekingen in de financiele administratie (of juist het achterwege blijven daarvan). Juist het verband leggen tussen de soft controls en de meer formele hard controls maakt dat je meer kunt zeggen over de hardheid van de hard controls. Daar zit de uitdaging en volgens mij hebben de grote missers van het afgelopen decennium wel aangetoond dat externe accountants, interne accountants en toezichthouders niet bij machte waren dit verband op een juiste manier te leggen. Denk bijoorbeeld maar eens aan de bonusdiscussie binnen de financiele instellingen. Ik durf te beweren dat onvoldoende door is geexerceerd wat de consequenties van dit bonusbeleid is geweest. Maar dit geldt ook voor andere sectoren. Zouden soft controls niet tot audit evidence leiden, dan zouden we toch ook niet naar de control environment hoeven kijken (onderdeel van COSO en allerlei internal control frameworks). Dit is ook deels doorspekt met soft controls.

Reageren op een artikel kan tot drie maanden na plaatsing. Reageren op dit artikel is daarom niet meer mogelijk.

Aanmelden nieuwsbrief

Ontvang elke werkdag (maandag t/m vrijdag) de laatste nieuwsberichten, opinies en artikelen in uw mailbox.

Bent u NBA-lid? Dan kunt u zich ook aanmelden via uw ledenprofiel op MijnNBA.nl.