Een best practice om soft controls in kaart te brengen, is met een enquête onder medewerkers. Bij de inzet van een enquête krijgt de accountant namelijk inzicht op basis van objectieve cijfers over de soft controls van de klant. Hoe vaker medewerkers ‘eens’ of ‘zeer eens’ antwoorden op de gevalideerde soft controls stellingen, hoe sterker deze soft controls dus ingebed zijn in de organisatie. Elke soft control krijgt daarmee een rapportcijfer, vaak ook nog onderverdeeld per afdeling, team of kantoorlocatie.
Hoe kan de accountant deze cijfers goed meewegen bij de audit? Bij welke cijfers is bijvoorbeeld sprake van een tekortkoming, een zogeheten ‘red flag’? En kunnen er ook ‘green flags’ worden vastgesteld?
In dit artikel wordt op vragen ingegaan die accountants en andere stakeholders kunnen hebben bij het interpreteren van cijfers over soft controls. Hoewel dit artikel primair is bedoeld voor accountants, kunnen ook professionals in risk, compliance, internal audit en HR hieruit kennis opdoen.
Soft controls
Kort over soft controls: dit zijn ‘zachte beheersingsfactoren’. Het zijn factoren die niet in ‘harde’ structuren en procedures kunnen worden vastgelegd, maar gaan over de cultuur van een organisatie en het gedrag van het management en de medewerkers.
De NBA heeft vastgelegd dat de accountant dient te evalueren of het management ‘een cultuur van eerlijkheid en ethisch gedrag heeft gecreëerd en gehandhaafd’ (Standaard 315↗). Deze evaluatie vindt plaats bij de jaarrekeningcontrole. Handreiking 1148 van de NBA gaat verder in op het verkrijgen van inzicht in soft controls bij de jaarrekeningcontrole. Deze handreiking noemt expliciet de enquête als een geadviseerde methode om cijfers over soft controls te verkrijgen.
Cijfers over soft controls
Welke cijfers over soft controls krijgt de accountant precies? Dat hangt ervan af op welk model de soft controls zijn gebaseerd en hoe de enquête is uitgevoerd. Het gangbare model voor soft controls dat ook door de NBA uitvoerig wordt beschreven, is het soft controls model van Muel Kaptein. Deze bestaat uit acht meetbare soft controls die als basis dienen voor de enquête.
Om de juiste cijfers over soft controls te verkrijgen, worden stellingen gekoppeld aan de acht soft controls. Medewerkers kunnen vervolgens anoniem aangeven in hoeverre zij het eens zijn met de stellingen. Wanneer alle stellingen positief zijn geformuleerd, is het vervolgens eenvoudig om het rapportcijfer per soft control te berekenen. Dit is het aantal medewerkers dat het eens is met de stelling, gedeeld door het totaal aantal respondenten.
De cijfers laten dus de waardering zien van medewerkers ten aanzien van soft controls binnen hun bedrijf of organisatie. Als medewerkers het vaak eens zijn met stellingen die zijn gekoppeld aan de soft control, dan zal het cijfer daarvan dus relatief hoog zijn. Andersom vormt een laag cijfer een sterk bewijs dat een bepaalde soft control op de werkvloer of binnen een bepaalde afdeling van onvoldoende niveau is.
Tekortkomingen
Dankzij deze cijfers over soft controls zijn de tekortkomingen, zogeheten ‘red flags‘, objectief vast te stellen. Hierbij kunnen bepaalde grenswaarden worden gehanteerd voor bepaalde rapportcijfers. Elke soft control die onder een bepaalde waarde scoort, wordt dan beschouwd als tekortkoming. Active Integrity hanteert in haar Soft Controls Scan een 6,5 als grenswaarde.
Of dit ook significante tekortkomingen zijn is altijd aan de accountant om vast te stellen op basis van de eigen professionele oordeelsvorming. Accountants kunnen namelijk ook leunen op andere informatie om de cijfers over soft controls te nuanceren of juist te versterken.
Tegelijkertijd is terughoudendheid op zijn plaats om de cijfers aan de kant te schuiven, zeker wanneer de klant daarop aanstuurt. Als de input van het management afwijkt van de uitkomsten van de enquête, dan is dit nog geen aanleiding om de resultaten van de enquête minder serieus te nemen. Het is juist een red flag als de mening van het management afwijkt van de ervaring op de dagelijkse werkvloer. Het wijst immers op een culturele disconnect tussen leiding en medewerkers.
Green flags
Tekortkomingen zijn dus vast te stellen aan de hand van de cijfers over soft controls. Is het ook mogelijk om versterkende punten, ofwel ‘green flags‘, te identificeren? Dat kan niet alleen op basis van cijfers. Van green flags is sprake als een soft control een versterkende werking heeft, en dus aantoonbaar bijdraagt aan de risicobeheersing binnen de klantorganisatie. Active Integrity hanteert in haar Soft Controls Scan een minimum van 8,0 als grenswaarde voor het vaststellen van een sterke soft control. Hiermee is echter nog niets gezegd over de versterkende werking van die soft control op de interne beheersing.
Ook hiervoor geldt dat het aan de account is om op basis van de eigen professionele oordeelsvorming deze green flags mee te wegen in de audit. Het voordeel van de enquête is dat de accountant sterker staat om green flags te hanteren. Deze zijn immers gebaseerd op objectieve cijfers en een methodologie die is erkend door de NBA.
Conclusie
Cijfers over soft controls geven accountants waardevolle inzichten in de cultuur en het gedrag binnen een organisatie. Met een enquête kunnen objectieve rapportcijfers worden verzameld die helpen tekortkomingen en sterke punten vast te stellen. Dit maakt het mogelijk om red flags en green flags te signaleren en de impact op de risicobeheersing goed in te schatten.