Centric connect.engage.succeed

Soft controls is een kwestie van vertrouwen

Geschreven door Pieter Overbeeke - 13 februari 2017

Pieter Overbeeke
In mijn vorige blog schreef ik dat niet alleen beheersmaatregelen, maar ook het gedrag van medewerkers die deze maatregelen veelal uitvoeren, in belangrijke mate bijdragen aan het bereiken van de doelen van de organisatie. De wereld verandert. Systemen en processen verliezen hun kracht. Gedrag en cultuur komen steeds centraler te staan.

Bij een uitbesteding van IT aan een serviceprovider wordt met een ISO 27001-certificaat of een ISAE 3402-assurancerapport alleen maar zekerheid gegeven over de kwaliteit van de beheersmaatregelen van die serviceprovider. Maar hoe de beheersmaatregelen worden uitgevoerd, staat er niet bij. Met andere woorden: kijken we wel goed? Zoals Cameron [1] in de jaren zestig van de vorige eeuw al schreef: ”Not everything that counts can be counted, and not everything that can be counted counts”.

Als we kijken naar wat telt voor het beoordelen van beheersmaatregelen bij de serviceprovider, dan hebben we het eigenlijk over ‘soft’ en ‘hard’ controls. Bij ‘soft’ controls gaat het vooral om het gedrag van de medewerkers en de cultuur bij de serviceprovider. Om iets te kunnen zeggen over het juiste gevoel is het van belang om gedrag en cultuur bij de serviceprovider te meten.

Hiervoor kunnen we aanknopingspunten vinden binnen het vakgebied van management control. Hartog en De Korte [2] definiëren management control als: “Het geheel van maatregelen dat redelijke zekerheid moet bieden dat de door het management gestelde doelen worden bereikt”.

Bij een uitbesteding gaat het voor de serviceprovider vooral om het nakomen van de contractuele afspraken. In een contract staan over het algemeen allerhande harde eisen die zijn geconcretiseerd met indicatoren. In outsourcingscontracten staat meestal niets over het gewenste gedrag van de serviceprovider. Hoe bereik ik dan mijn doelen als de beheersmaatregelen er allemaal op zijn gericht dat de organisatie ‘rechtsaf slaat’ en enkele of veel medewerkers gewoonweg ‘linksaf slaan’.

De risico’s en beheersmaatregelen (‘hard’ controls) van een serviceprovider worden meestal vastgelegd in een Risk & Control Framework. Het ontbreken van gedrag en cultuur in deze frameworks bij serviceproviders pleit voor het uitbreiden ervan. Maar zijn er dan normenkaders voorhanden om gedrag en cultuur te meten en daar als serviceprovider transparant over te rapporteren aan klanten? Professor Muel Kaptein komt op basis van zijn onderzoek naar integriteitsinbreuken bij de overheid tot de volgende kenmerken voor ‘soft’ controls:

  • Helderheid
  • Voorbeeldgedrag
  • Betrokkenheid
  • Uitvoerbaarheid
  • Transparantie
  • Bespreekbaarheid
  • Aanspreekbaarheid
  • Handhaving

Ook Quinn & Cameron hebben een cultuurmodel ontwikkeld dat gebruikt kan worden voor het beoordelen van gedrag en cultuur. Kenmerkend voor deze en andere modellen is dat zij vrij generiek zijn en daarmee moeilijk meetbaar. En als het moeilijk meetbaar is, dan is het voor de serviceprovider ook moeilijk om hierover op een transparante wijze assurance te geven. Zolang de normenkaders voor gedrag en cultuur nog niet voorhanden zijn, is en blijft het advies: ‘kijk de serviceorganisatie goed in de poppetjes van de ogen’! En dus blijft het vooralsnog toch een kwestie van vertrouwen.

[1] Cameron, W. C. (1963). Informal Sociology: A Casual Introduction to Sociological Thinking
[2] Hartog, P. A., & De Korte, R. W. A. (2005). IT-Audit en Operational Audit: Eenmanszaken of Maten? EDP-Auditor, (2), 20–27

Pieter Overbeeke is expert Interne audit & Assurance.  Als manager compliance, audit & security houdt Pieter zich bezig met de eisen die gesteld worden aan processen en interne beheersing vanuit de aandachtsgebieden interne audit, compliance en information security.

     
Schrijf een reactie
  • Captcha image
  • Verzenden