Opinie 27 oktober 2014

Wat is er mis met soft controls?

Gerard Dirven gooit de knuppel in het hoenderhok: soft controls bieden geen audit evidence. Heeft hij gelijk?

Al sinds ik tijdens de studie iets hoorde over Levers of Control van Simons,  ben ik een beetje uit hobby met het onderwerp bezig. Ik vond de softe kant van Simons, met name de Belief Systems fascinerend. Bij mijn afstudeerscriptie heb ik geprobeerd vast te stellen of de werking van controls uit de hoek Belief Systems bewijsbaar is. Sinds die tijd volg ik de ontwikkelingen zo goed ik kan.

Zo heb ik enkele keren een NBA-cursus rond dit onderwerp gevolgd. Wat me daarbij opviel was dat deze cursussen vrijwel uitsluitend door intern accountants worden gevolgd, en dan nog eens met name de intern accountants die zich met operational audit bezig houden. Certificerend accountants ontbraken goeddeels.

Juist vanuit de stelling van Gerard Dirven is dat niet zo gek. De afgelopen pakweg tien jaar is behoorlijke vooruitgang geboekt in de beschrijving van soft controls. Voor operational auditors en voor managers kan de soft control immers zelf onderwerp van onderzoek zijn. Het kan zinvol zijn te bedenken welke soft controls je als management wil hebben, en welke feitelijk aanwezig zijn.

Maar wat moet de certificerend accountant daar mee?

Gerard Dirven concludeert dat de zogenaamde hard controls alleen betrouwbaar zijn indien ze zijn ingebed in relevante soft controls. Vanuit Simons of COSO zou ik zeggen dat de werking van control activities (COSO) of internal controls (Simons) aan betekenis wint of verliest door onder andere de control environment, monitoring en information systems (COSO) ofwel de belief systems, interactive control systems, boundary systems en diagnostic control systems (Simons).

Zowel COSO als Simons als controle volgens de COS vergen een goed begrip van het onderscheid tussen al deze context en de control activities zelf. Deze controls zijn in het informatiesysteem, in de gegevensverwerkende processen opgenomen controls die bijdragen aan de kwaliteit van de verwerkte data.

De termen "soft controls" en "hard controls" suggereren dat het om twee varianten van hetzelfde gaat. Maar in de praktijk blijkt dat als gesproken wordt over "soft controls" zelden controls worden bedoeld die in gegevensverwerkende processen zijn opgenomen, maar om de eerder genoemde context waarbinnen procescontrols functioneren.

Wil de certificerend accountant verder komen met soft controls, als basis voor audit evidence, op de manier die Gerard Dirven aanduidt, dan moet dit onderscheid scherper worden gemaakt.

De werking van soft controls in brede zin, dus in domeinen als control environment of belief systems, is al jarenlang onderdeel van de accountantscontrole. De accountant dient nu al controlebewijs te verzamelen over deze soft controls.

De werking van soft controls als onderdeel van de control activities is het lastige punt. En in alle eerlijkheid, hoewel ik denk dat aantoonbaar is dat het KAN, ik heb nog geen enkel voorbeeld gezien in Nederland of internationaal waar het daadwerkelijk gebeurt.

De liefhebbers van het onderwerp hebben naar mijn overtuiging te sterk de neiging vanuit een zeker wensdenken onnauwkeurig om te gaan met de audit-methodologische kant van het verhaal, terwijl de sceptici mogelijk iets te sceptisch zijn over de theoretische haalbaarheid van soft controls als control activities.

Kortom, ik denk dat Gerard Dirven gelijk heeft, en dat het heel hoog tijd wordt dat onze wetenschappers hier stappen in zetten.