Het organisatieconcept control selfassessment (CSA) of zelfevaluatie is sterk in opkomst. Het is een nieuw besturingsmodel waarmee een vorm van zelfevaluatie binnen het decentrale management kan plaatsvinden. Arie Molenkamp vraagt zich in onderstaand artikel af of CSA uitsluitend in het management zou moeten worden toegepast of dat de controller hierin wellicht ook een essentiële rol zou kunnen vervullen.
Onder CSA verstaan we dat het decentrale management een vorm van zelfevaluatie toepast. Dit organisatieconcept is sterk in opkomst en past als tool of management ook uitstekend in het huidige tijdbeeld. Het biedt immers transparantie en geeft inhoud aan de medeverantwoordelijkheid van de organisatiemedewerker.
Ook zich opdringende thema’s als riskmanagement en compliance kunnen binnen CSA goed worden geborgd. CSA is een toepassing van participatief management; een leiderschapsstijl die als geroepen komt nu topmanagement de hete adem van toezichthouders in zijn nek voelt. Wat is er voor de gemoedsrust van de CEO mooier dan dat het decentrale management, weliswaar onder regie van de top, expliciet haar verantwoordelijkheid neemt door het toepassen van evaluatief zelfonderzoek, daarmee vaststellend hoever de afdeling is gevorderd in het bereiken van het overeengekomen prestatieniveau?
De vraag is of CSA uitsluitend des management is, dan wel dat de tweede en derde lijn daarin essentiële rollen kunnen vervullen.
Staven en besturingsconcept organisatie
Internal auditing verstrekt de organisatie aanvullende zekerheid. Dat houdt in dat er onafhankelijk onderzoek plaatsvindt naar zowel de wijze waarop de strategische doelstellingen in de organisatie zijn verankerd, als naar de mate waarin aan de realisatie van die doelstellingen wordt gewerkt. Het sturingsmodel dat het management daarbij toepast, is bepalend voor de manier waarop in de organisatie leiding wordt gegeven, in het bijzonder hoe de communicatie tussen de medewerkers onderling en tussen de medewerkers en de leiding plaatsvindt.
De controller er is onder meer aan gehouden een belangrijke bijdrage te leveren aan de opzet en goede werking van de communicatie- en informatiesystemen. Voor het goed functioneren van de CSA-sessies is het van eminent belang dat de controller de benodigde gegevens tijdig, volledig en juist aanlevert; gegevens die nodig zijn om tot een verantwoorde bespreking en besluitvorming van de onderhanden zijnde thema’s te komen en daarover verantwoording af te leggen.
Een nieuwe loot aan de boom van besturingsmodellen, zoals control selfassessment (CSA), heeft een grote impact op de communicatie, de besluitvormingsstructuur en de doelstellingsrealisatie binnen de organisatie. Het is een model waarin de internal auditor en de controller zich op z’n minst, uitgaande van hun derde- en tweedelijns functie, zouden moeten verdiepen. Maar nemen audit en control wel hun verantwoordelijkheid in deze?
Opzet en werking CSA
De meest eenvoudige vorm van zelfevaluatie betekent dat de manager een evaluatieformulier invult. Meer gebruikelijk is dat deze manager een afdelingsworkshop organiseert, waarin de evaluatie in (geleide) groepssessies plaatsvindt. Het evaluatieproces richt zich daarbij meestal op de voortgang in het halen van de overeengekomen doelstellingen en targets, maar ook op de kwaliteit van het proces en het product.
Toepassing van CSA impliceert dat op decentraal niveau de nodige diepgang wordt nagestreefd bij het evalueren van bedrijfsvoeringthema’s zoals ‘kwaliteitsinbreuken’ en ‘compliance-incidenten’. De premisse is dat spontane en met argumenten onderbouwde bijdragen van de workshopleden borg staan voor een betrouwbaar beeld van de afdelingssituatie en het genereren van verbeterpunten en oplossingen.
Gebruikelijk is dat het evaluatieproces uitmondt in een verantwoordingsdocument; het tegenwoordig zo beoogde in control statement (ICS) is daarmee een feit. Wat rest is een consolidatie- en analyseslag op concernniveau; een proces dat ingrediënten voor het bestuursverslag oplevert.
Implementatie van CSA
De implementatie van CSA verloopt niet altijd even succesvol. De vraag is wat de oorzaken daarvan zijn. Heeft de top er wel voldoende aandacht voor? Is er een doortimmerd masterplan? Is de training van de medewerkers adequaat geregeld? Zijn de stafafdelingen op hun taken voorbereid?
Zoals zo vaak is de theorie aantrekkelijk, maar is de praktijk weerbarstig. Zelfs het bij CSA lonkende perspectief van een gedroomd communicatie- en informatieproces is geen garantie dat alle betrokkenen de uitdaging zonder meer aangaan.
Hoewel in tegenspraak met de achterliggende gedachte, namelijk dat het decentrale management bij CSA zélf verantwoordelijk is voor kritisch zelfonderzoek, blijkt in de praktijk dat strikte richtlijnen van de top wel degelijk vereist zijn. Een consequente toepassing van CSA maakt het immers noodzakelijk dat de besturingsfilosofie, het beheersingskader, de kernwaarden, de cultuur en de normen als kritieke succesfactoren en key performance-indicatoren sterk zijn ontwikkeld en bij de uitvoering dienen te worden gerespecteerd.
Aan een masterplan waarin de verschillende doelstellingen en randvoorwaarden een plek krijgen, kan niet worden ontkomen. In het masterplan dient ruimschoots aandacht te worden besteed aan de voorbereiding op dit organisatieveranderingtraject; een term die niet toevallig aan CSA is gekoppeld. Adoptie van CSA impliceert immers dat op de participatieve en interveniërende instelling van managers, medewerkers en staffunctionarissen een beroep moet worden gedaan.
Het op decentraal niveau meer ruimte geven aan de invulling van de eigen verantwoordelijkheid betekent ook dat iedereen zich aan (meer strenge) randvoorwaarden moet conformeren. Alleen dan kan er ruimte zijn voor het initiatiefrijke, zelfevaluerende en zelfcorrigerende gedrag dat voor het succes van CSA noodzakelijk is.
Thema’s en spelregels
Uiterst cruciaal bij CSA is de breedte van de onderwerpen die in de workshop worden behandeld. Het ligt voor de hand daarbij te denken aan de klassieke beheersingsthema’s als proces- of productkwaliteit en voortgang in de doelstellingenrealisatie. In toenemende mate zijn echter ook thema’s als risicoanalyse, organisatieverandering en compliance populair.
De keuze van het onderwerpenschema is niet vrijblijvend; per onderwerp moet men over veel informatie en onderliggende gegevens beschikken. In ieder geval moeten de onderwerpen aan de orde komen die door het management als risicovol zijn bestempeld. Ook dienen de nodige inhoudelijke en procesmatige spelregels in acht te worden genomen. Er moeten bijvoorbeeld afspraken worden gemaakt over het leiden van de workshop, de besluitvormingsprocedures, de rapportageregels en de hantering van questionnaires.
Een bijzondere afspraak betreft de invulling van rollen als onafhankelijk voorzitter, procesbewaker, ‘advocaat van de duivel’ en rapporteur. In het bijzonder moet worden vastgesteld of en zo ja welke staffunctionarissen een rol in CSA-sessies vervullen.
Internal auditor en CSA
Zoals gezegd impliceert het adopteren van CSA door de organisatieleiding dat de internal auditor zich op dat model moet oriënteren. Het kennisnemen van de mogelijkheden en uitgangspunten van het besturingsmodel is nodig zodat de auditor zich kan uitspreken over de kwaliteit van opzet en functioneren van het model; althans zo moet de traditionele rol van de auditor worden gezien.
Meer dan op grond van zijn functie mag worden verwacht, is de internal auditor vaak al in strategische zin betrokken. Topmanagement kan door de internal auditor op de mogelijkheden van CSA zijn gewezen. Vaak zien we dat internal audit deelneemt in groepen die de invoering van de nieuwe methode voorbereiden en begeleiden. In sommige organisaties levert de auditor vervolgens zelfs een forse inzet bij het daadwerkelijk functioneren van het nieuwe besturingsmodel.
Dat laatste houdt dan in dat de internal audit-functie structureel deelneemt aan CSA-workshops; per sessie vervult men bijvoorbeeld de rollen van onpartijdig voorzitter en ‘advocaat van de duivel’.
Controller en CSA
Het succes van CSA is dus in hoge mate afhankelijk van de betrokkenheid en inzet van de top. Het hoogste management zal moeten zorgen voor een masterplan. Dit is een baselinedocument dat de randvoorwaarden aangeeft waarbinnen de eigen (verworven) verantwoordelijkheid van de organisatiemedewerker haar plek kan krijgen. Maar meer dan dat zal topmanagement qua voorbeeldfunctie CSA in haar vergadercultuur moeten inpassen.
Of het nu gaat om resultaatafspraken, risico’s, productkwaliteit of te respecteren wet- en regelgeving, in alle gevallen is ‘meten is weten’ de basis voor een effectieve discussie binnen de CSA-workshop. Met andere woorden: voor de door te voeren organisatieverandering is het management in hoge mate afhankelijk van de voorbereidende, coördinerende en ondersteunende werkzaamheden die per definitie door de tweede lijn moeten worden geleverd.
Het ontwikkelen van vergaderprotocollen, het opstellen van questionnaires, het voorschrijven van rapportageformats, het trainen in interventietechnieken; het aanpassen van de planning- en controlsystemen en het introduceren van voting-technieken zijn stafactiviteiten. Ook het aanleveren van basisinformatie en het verwerken van gegevens die tijdens de CSA-sessie worden gegenereerd, trekken een hoge wissel op de betrokkenheid en inzet van de tweede lijn.
Het van de grond komen van CSA binnen de eerste lijn is dus in hoge mate afhankelijk van de betrokkenheid, de kennis, de ervaring en de inzet van de tweede lijn. Mijn waarneming is dat de controller zich niet als zodanig opstelt, terwijl juist de internal auditor een aantal oneigenlijke taken op zich heeft genomen.
Rol internal auditor
Hoe het komt dat de internal auditor zijn onafhankelijke positie in de waagschaal stelt door daadwerkelijk deel te nemen aan het zelfevaluatieproces is niet geheel duidelijk. Mogelijk dat de beroepsorganisatie IIA Inc., door het aanvankelijk propageren van CSA als audittool, daaraan mede debet is.
Zoals hiervoor aangegeven verstrekt de internal auditor aan het management aanvullende zekerheid over de kwaliteit van de inrichting van de organisatie, met als doel verbeteringen te kunnen aanbrengen in de wijze waarop de organisatie haar doelstellingen realiseert. Bij CSA laadt de organisatie een grotere verantwoordelijkheid op zich als het gaat om de mate van zelfcontrole en interne controle.
Dit betekent voor de internal auditor enerzijds dat hij meer kan steunen op het zelfevaluatieproces en dat hij bepaalde onderzoeken niet zelf meer hoeft uit te voeren. Anderzijds zal de internal auditor moeten vaststellen of het concept van CSA op een goede wijze in de organisatie is verankerd; een toets die nodig is om het management erop te kunnen wijzen of op een verantwoorde wijze met CSA wordt omgegaan en of men ook feitelijk op CSA kan steunen.
Deze toetsende werkzaamheden kan de internal auditor onmogelijk combineren met de hiervoor beschreven faciliterende en coachende werkzaamheden binnen het proces van zelfevaluatie. Zijn onafhankelijkheid en geloofwaardigheid worden daarvoor te veel aangetast. Met andere woorden: de auditor moet back to basics.
Controller als eerste der eersten?
De introductie van CSA lijkt een uitstekende mogelijkheid voor de controller om zijn positie als ‘eerste der eersten’ in de tweede lijn te kunnen vestigen. Het is de vraag of de controller deze wat meer coördinerende en inhoudelijke positie gaat oppakken. De voortekenen daartoe zijn niet gunstig; nieuwe ontwikkelingen als de invoering van riskmanagement en het doorvoeren van de compliance-functie heeft de controller meestal aan zich voorbij laten gaan.
Omdat ik mij opstel als representant van de toetsende functie, is het mij om het even wie in de tweede lijn de CSA-uitdaging oppakt. Wel moet ik constateren dat zonder die rol van de tweede lijn CSA tot mislukken gedoemd lijkt. Het oppakken door de internal auditor van deze taken is qua onafhankelijkheid uitgesloten; dat biedt slechts een doekje voor het bloeden en is dus geen alternatief. Rest mij voor nu slechts één vraag: laat de controller ook deze beker aan zich voorbijgaan?
Literatuur
~ Haagsma, A. (2009), ‘Appreciative auditing’, 8(5) Finance & Control, p. 26-29.
~ Huibers, S. (2009), ‘Rol internal auditor in veranderingsprojecten’, 8(5) Finance & Control, p. 7-11.
~ Institute of Internal Auditors (2001), ‘A Perspective on Control Selfassessment’, IIA Inc. Professional Practices Pamphlet 98-2.
~ Moed, T. (2003), ‘CSA: een instrument van de auditor?’, 3 Audit Magazine, p. 112-116.
~ Moed, T. (2005), Control Selfassessment, Deventer: Kluwer.
~ Molenkamp, A. (2010), ‘Control selfassessment als cruciaal organisatieconcept’, 6 Tijdschrift Controlling, p. 25.
*
Arie Molenkamp, register operational auditor, is zelfstandig gevestigd als organisatieadviseur. Hij is verbonden aan de Amsterdam Business School ten behoeve van de Executive Master of Internal Auditing (EMIA) en het Research Center of Internal Audit Excellence (RCIAE).
*
Dit artikel werd eerder gepubliceerd in Finance & Control, december 2010
