De woorden “interne controle” brengen diverse reacties teweeg bij een publiek: van verveling, over verbazing, over angst terug naar totale onverschilligheid. In dit artikel wil ik even op zoek gaan naar redenen voor deze reacties en naar een aantal concrete voorbeelden waarom en onder welke condities interne controle relevant wordt.
Een eerste verklaring voor de reacties heeft te maken met verwachtingen rond interne controle: interne controles invoeren kost tijd en middelen. Men verwacht een toegevoegde waarde, liefst een kwantificeerbare, liefst monetaire opbrengst van een bepaalde maatregel. De meeste interne controles leveren geen toegevoegde waarde op zich. Ze zijn enkel relevant als er iets mis gaat. Dan zorgen ze er in het beste geval voor dat de verliezen als gevolg van het probleem beperkt blijven. Dat is hun bedoeling, en meer niet.
Dat brengt ons op een tweede aspect: de kosten-baten verhouding. Het invoeren van interne controles gebeurt meestal onder druk van een controle instantie, zoals de interne of externe auditor, de inspecteur van financiën, het Rekenhof, de regeringscommissaris … Deze controle instanties zijn op zoek naar zo groot mogelijke zekerheden. Ze trekken zich weinig aan van de kost van het leveren van deze zekerheid.
Zo gebeurt het dat een management team dat verplicht wordt om te investeren in interne controle doet dit vaak tegen zijn zin, omwille van het feit dat de druk van derden komt (punt 2 hierboven) en dat er weinig direct zichtbare return on investment is (punt 1 hierboven). Dit soort investeringen wordt dan eerder stiefmoederlijk behandeld. Dit is erg spijtig, omdat zo interne controles vaak ingevoerd worden in incrementele pakketjes zonder dat een geheel van controles in processen wordt geïntegreerd en met elkaar verbonden. Controles zijn dan eerder gemakkelijk uit te schakelen of te omzeilen. De al contentieuze toegevoegde waarde wordt zo nog kleiner.
Uit ervaring weet ik dat er organisaties zijn binnen de publieke en de privé sector die ver weg blijven van interne controle omdat ze het idee gewoon niet verkocht krijgen aan hun achterban. Interne controle is zo de Assepoester van de aanpassingen in organisatieprocessen. Een gemiste kans.
Maar waar gaat het nu eigenlijk over? Uiteindelijk werken we rond de gezondheid van een proces binnen een organisatie. Het interessante is dat ook kwaliteitsbeheer dit al jaren doet. Waar kwaliteitsbeheer stamt uit de productieomgevingen, en heel kwantitatief gericht is, komt interne controle uit de traditie van financiën en rapportering en werkt meer rond risico’s en financiële blootstelling. Er is echter wezenlijk weinig verschil. Het gaat enkel om een ander perspectief op wat in wezen dezelfde problematiek is: hoe zorgen we ervoor dat we een zo goed mogelijk product of dienst maken met zo weinig mogelijk problemen, zodat onze betrokken partijen er (a) zo weinig mogelijk voor betalen of (b) onze aandeelhouders zoveel mogelijk geld verdienen.
De grootste uitdaging is het vinden van de juiste oplossing voor een specifiek probleem. We moeten daarom het perspectief van controle, kwaliteit of gelijk welke bril loslaten en kijken vanuit de realiteit van de gebruiker of de operationele verantwoordelijke. Nadien kan gekeken worden op welke manier een oplossing het best ontwikkeld wordt. De beste manier om volgens mij dit los te laten is het vanuit een overkoepelend perspectief van risico analyse te benaderen. Ik ben enorm blij dat ISO met zijn ontwerp standaard ISO 31000 in dezelfde richting evolueert.
Laten we dit heel concreet maken: ik geef hieronder een drietal voorbeelden van geïdentificeerde risico’s, met telkens een kwaliteit- en een controle insteek. Aan u om te bepalen wat volgens u de meest relevante is:
- De risicoanalyse duidt op een belangrijke daling van de klantentevredenheid met onze diensten. Een kwaliteitsbenadering ontwikkelt standaard procedures waardoor de afwijkingen in dienstverlening zullen worden geminimaliseerd. De interne controle richt zich op het tijdig identificeren van onaanvaarbare afwijkingen zo snel mogelijk in het proces. U ziet dat deze twee methodes zeer complementair zijn en elkaar in belangrijke mate aanvullen.
- De risicoanalyse duidt aan dat we als organisatie omwille van een verouderend personeelsbestand een belangrijk deel van onze competenties aan het verliezen zijn. Een kwaliteitsaanpak zal de competentievereisten om de jobs uit te voeren vatten in goede functiebeschrijvingen, interne controle ontwikkelt taakbeschrijvingen en procesbeschrijvingen. Beiden promoten ze de ontwikkeling van kennis captatie systemen, zoals kennisbeheer, maar elk vanuit het eigen perspectief …
- De risicoanalyse geeft weer dat belangrijke strategische indicatoren ontbreken of gevoed worden met foutieve informatie. Een kwaliteitsgerichte aanpak ontwikkelt balanced scorecard indicatoren, terwijl de interne controle risico indicatoren ontwikkelen zal. Afhankelijk van wie eerst is of wie eigenaar is van een bepaald probleem, zal de ene of de andere aanpak eerst ingevoerd worden. Het is echter eenvoudig om een conversie uit te voeren.
