Content uploaded by Martin De Bree
Author content
All content in this area was uploaded by Martin De Bree on Oct 25, 2016
Content may be subject to copyright.
1
Achtergrondverkenning
inzake
de relatie tussen vertrouwen, systeemtoezicht en ruimte
voor professionele afwegingen op het gebied van de
bedrijfsvoering (‘zuurstof in het systeem’)
15 augustus 2016 Robert Vos
Martin de Bree
2
Samenvatting
Deze achtergrondverkenning heeft als doelstelling aan te geven hoe de beleidsruimte voor het
management (‘zuurstof in het systeem’) binnen de financiële bedrijfsvoering van de rijksoverheid
op een gestructureerde manier inhoud gegeven kan worden en voorkomen kan worden dat de
‘zuurstof’ die er aan het begin ingestopt wordt, in de loop van het proces ‘verdampt’.
Hiervoor zijn een vijftal randvoorwaarden van het grootste belang:
a. Andere visie/cultuur
‘Zuurstof in het systeem’ betekent een andere visie op control(e) en - deels - een andere cultuur:
niet meer regels en controle als enig uitgangspunt, maar de doelstelling en het in control zijn van
de organisatie meer centraal. Een duidelijke splitsing tussen stringente regels enerzijds en regels
met beleidsruimte anderzijds, kan hierbij helpen.
b. Basis op orde
De stringente regels moeten bijdragen aan de gewenste duidelijkheid en uniformiteit. Zij moeten
zorgen dat de basis op orde is. Dit moet voor het management en medewerkers gebruiksvriendelijk
geregeld zijn, zoveel mogelijk met behulp van IT systemen (verwerking in de systemen ‘onder de
motorkap’). Met deze systemen zelf moet het management en medewerkers zo min bezig zijn,
alleen met het bepalen van de bestemming en het besturen van de ‘auto’ met een helder
dashboard dat aangeeft wanneer zaken niet goed gaan of aandacht vragen.
c. Risico-acceptatie
Er bestaat geen (volledige) zekerheid. Regels en controle geven vaak een gevoel van zekerheid,
maar leiden in de praktijk vaak tot schijnzekerheid. Belangrijk is te investeren in gerechtvaardigd
vertrouwen met een daarbij behorend loslaten (=risico-acceptatie) binnen bepaalde grenzen, ook
al kan dit leiden tot zekere verschillen. Hierbij is het tevens belangrijk dat er goed zicht bestaat op
de risico’s.
d. Professionaliteit/volwassenheidsniveau
Gerechtvaardigd vertrouwen is sterk afhankelijk van de mate van volwassenheid en
professionaliteit van de organisatie. Dat zou voorop moeten staan: het ‘in control zijn’ van de
organisatie met behulp van het management control systeem. Het omgaan met de naleving van
regels is dan een onderdeel daarvan, maar niet meer dan een middel om het hoofddoel te
realiseren. Tot de professionaliteit van een organisatie hoort ook het open en transparant
verantwoorden op hoofdlijnen over gemaakte keuzes en zaken die minder goed gegaan zijn.
e. Gemeenschappelijk belang in de controleketen
De maatschappij die steeds complexer wordt, zorgt er voor dat binnen organisaties, maar ook
tussen organisaties, in toenemende mate sprake is van ketens met onderlinge afhankelijkheden.
Dan gaat het erom in te zetten op het gedeelde gemeenschappelijk belang en niet op het eigen
deelbelang. Dit kan alleen als er sprake is van gerechtvaardigd vertrouwen tussen de
ketenpartners. Dit geldt ook in de controleketen. De controleur moet kunnen vertrouwen op het
management control systeem en de verantwoording door het management. Het management moet
kunnen vertrouwen op een professionele beoordeling door de controleur met gevoel voor de
doelstellingen van de organisatie en de relevante regelgeving, inclusief de gemaakte afwegingen.
3
I. Uitgangspunten en relevante omgeving
Het zal niet lukken een overheidsorganisatie1 te besturen door de besturing louter te gieten in
regels en vaste procedures en die consequent uit te voeren. Zelfs aan de lopende band zal er altijd
iemand moeten zijn, die - als er iets mis gaat - op de rode knop drukt om de band stop te zetten.
Iemand zal dan initiatief moeten tonen en verantwoordelijkheid durven te nemen. Ook
stiptheidsacties tonen keer op keer de beperking van regels en vaste procedures aan. Als alle
regels en procedures stipt worden uitgevoerd, loopt het werk in het honderd.
Organisaties en functionarissen krijgen voortdurend te maken met nieuwe situaties en nieuwe
eisen. De omgeving waarin een organisatie zich bevindt, is constant in beweging. En als de
werkelijkheid voortdurend verandert, is het onverstandig regels ‘in graniet’ uit te hakken. Goed
handelen vereist dan professionele ruimte voor ambtenaren. Want als die ruimte dichtgetimmerd is
met protocollen en voorschriften, lijkt dat misschien zekerheid te bieden. Het kan ook forse risico’s
en gevaarlijke situaties opleveren. Er blijven immers altijd onvoorziene situaties die afwijken van
de wettelijke en bestuurlijke kaders. In dat soort specifieke gevallen hebben medewerkers ruimte
nodig om de juiste afwegingen te kunnen maken. Dit is een wezenlijk onderdeel van de kwaliteit,
houdbaarheid en duurzaamheid van een organisatie (artikel ‘Goed doen kost professionele ruimte’
in ABD blad nr. 4/2014).
In de Nederlandse code voor goed openbaar bestuur (BZK, 2009) is een zevental naast elkaar
staande beginselen voor deugdelijk overheidsbestuur opgenomen, waaronder openheid en
integriteit, doelgerichtheid en doelmatigheid, legitimiteit (te rechtvaardigen beslissingen in
overeenstemming met geldende wet- en regelgeving) en verantwoording. Deze beginselen
betekenen voor organisaties en hun functionarissen dat zij permanent professionele afwegingen
moeten maken om te komen tot dat goede openbaar bestuur. Maar is er een rangorde of zijn deze
beginselen gelijkwaardig? Of verschilt dat per situatie? Wie bepaalt dat dan?
In de Agenda Controlebestel (goedgekeurd door het SG-Overleg) wordt gesproken over een
doelmatig en risico- en resultaatgericht controle bestel, waarin - naast het handhaven van de focus
van rechtmatigheidsbeheersing, verantwoording en audit op essentiële wettelijke bepalingen en
grote risico’s van niet-naleving - gepleit wordt voor een ontwikkeling van ‘zero tolerance’ naar
meer ruimte voor passende oplossingen, de ‘zuurstof in het systeem’: controleurs zouden bij het
toetsen aan regels begrip moeten hebben voor de soms weerbarstige uitvoeringspraktijk en
bijbehorende dilemma’s, waarbij een goede managementverantwoording over gemaakte keuzes
uiteraard wel essentieel is. Tevens zal het risicomanagement versterkt moeten worden in de
richting van risicomanagement ‘met de grote R’: het in control zijn van de grote beleids- en
bedrijfsvoeringsrisico’s.
In dit verband kunnen ook de uitspraken van Maarten Camps (Secretaris Generaal van het
ministerie van Economische Zaken) worden genoemd in het Nieuwjaarsartikel 2015 in ESB: veel
regelgeving werkt eerder belemmerend dan dat het vernieuwing faciliteert, omdat de wetgever
vaak gehecht is aan de status quo en vooral oog heeft voor alle mogelijke risico’s van nieuwe
ontwikkelingen en innovaties. Hij pleit dan ook voor meer regelgeving waarbij wel het doel, maar
niet de manier waarop, wordt vastgelegd (doelregulering). Voldoet een plan niet aan de normen,
maar is er wel een gelijkwaardige alternatieve oplossing, dan mag dat ook (vgl. Bouwbesluit van
2012). In de brief ‘Ruimte voor vernieuwing door toekomstbestendige wet- en regelgeving’ van
minister Kamp (EZ) aan de Tweede Kamer van 20 juli 2015 worden in het verlengde hiervan drie
innovatieve (wetgevings)instrumenten genoemd: doelregulering, right to challenge (RTC) en
experimenteerbepalingen (zie voor uitgebreidere toelichting, bijlage 1).
1 Een overheidsorganisatie kan in dit verband een departement(sonderdeel) zijn, maar ook evenzeer een shared service center (SSC)
voor meerdere departementen.
4
In de maatschappij zien we een ontwikkeling richting individualisering/eigen verantwoordelijkheid,
maar tegelijkertijd - als het mis gaat - een roep om regels en controle als het misgaat (‘waarom
heeft de overheid dit niet voorkomen’).
Tegenwoordig is bungee jumpen heel normaal. Het is avontuurlijk en verhoogt de adrenaline
spiegel van de springer. Waar bemoeit de overheid zich mee als ze dit wil verbieden (‘dat maak ik
zelf wel uit’). Maar als het touw breekt of niet goed bevestigd is, klinkt wel gelijk de roep waarom
de overheid hiervoor geen regels heeft gesteld en niet gecontroleerd heeft.
Risico-acceptatie door politiek en maatschappij blijkt in de praktijk weerbarstig en van alle
tijden/landen te zijn: zie het onderstaande, illustratieve schema van de Better Regulation
Commission in het Verenigd Koninkrijk uit 2006:
Bron: Better Regulation Commission (2006)
5
Interview met scheidend voorzitter Huub Wieleman (NBA) in Financieel Dagblad 17 juni 2015:
Angstcultuur dwingt accountant van principes naar regels:
Onder uw bewind is er een nieuwe set regels voor onafhankelijkheid van de accountant
geïntroduceerd, inclusief een handleiding hoe de regels geïnterpreteerd moeten worden. Zijn
accountants diep in hun hart onzekere mensen?
We maken tegenwoordig niet alleen regels, maar we handhaven ze ook. Iedereen is als de dood
dat hij zich niet aan de regels houdt en het om zijn oren krijgt. Die angstcultuur leidt tot een
enorme hang naar gedetailleerde interpretatie van de regels. Daardoor zie je dat we met principes
beginnen. Maar met regels eindigen. Daar hebben we nog wat te leren.
Speelt deze angst cultuur alleen bij accountants of ook bij de overheid (politici, beleidsmakers,
uitvoeringsinstanties, toezichthouders etc.)? Iets wat één keer misgegaan is, moet voor alle
gevallen in de toekomst voorkomen worden, ook al is de kans op herhaling klein en zijn de kosten
van regels en controle hoog (zie de regel- en controlereactie op de vuurwerkramp in Enschede en
de nieuwjaarsbrand in Volendam). Eerst rustig de oorzaak goed uitzoeken, oplossingsalternatieven
goed afwegen en vooral leren van wat er misgegaan is (vaak: menselijke rol) en daarnaast
accepteren dat ook met meer regels en controle nooit ieder incident voorkomen kan worden, kan
veel effectiever zijn dan onder druk snel (meer) regels en controle invoeren. Is men niet teveel tijd
en energie kwijt aan het voorkomen van (herhaling van) een vorig incident en heeft men daardoor
onvoldoende aandacht voor nieuwe ontwikkelingen en het structureel voorkomen van nieuwe
incidenten? Met als gevolg dat men permanent achter de feiten (incidenten) aan blijft hollen?
De integriteitrisicoanalyse De Nederlandsche Bank 27 augustus 2015: Een onterecht vertrouwen in
procedures en maatregelen.
Veel instellingen hebben vuistdikke procedureboeken en maatregelen in stelling gebracht om
integer handelen door en binnen de instelling te waarborgen. De wet eist ook tal van procedures en
maatregelen, waarmee de illusie van beheersing kan ontstaan. Procedures geven u namelijk alleen
de schijn van risicobeheersing, vooral als u ze niet baseert op en richt tegen daadwerkelijke
risico’s. Alleen door de risico’s naar hun aard en verschijningsvorm goed te begrijpen, kunt u
procedures en maatregelen effectief in stelling brengen. Zonder goed begrip van de aard en
omvang van het risico bestaat bij het naleven van de procedures het gevaar op ‘afvinkgedrag’.
Naleving zonder overtuiging of begrip is een risico op zich. Mede daarom is veel van de regelgeving
risk based: de wettelijk voorgeschreven procedures moeten worden opgevolgd, maar de wijze en
intensiteit ervan is afhankelijk van de omvang van het risico. In sommige gevallen biedt u dat dus
ook de mogelijkheid om procedures te beperken en kostenvoordeel te halen. In andere gevallen
moeten echter verscherpte maatregelen worden getroffen.
In het programma risicoregelreflex van het ministerie van Binnenlandse Zaken en
Koninkrijksrelaties (BZK) wordt onderzoek gedaan naar de mechanismen achter deze
risicoregelreflex en op welke wijze hier in de beleidsvorming en regelgeving verstandig mee om
gegaan kan worden. Zie in dit verband o.a. de Handreiking bestuurlijk balanceren met risico’s en
verantwoordelijkheden (januari 2015). Als uitdaging wordt daarin geformuleerd: proportioneel en
transparant omgaan met risico’s en incidenten, passend bij de maatschappelijke context.
6
Interview met Valerie Frissen (hoogleraar ICT en sociale verandering aan de Erasmus Universiteit)
op www.open-overheid.nl:
Hoe kunnen we naar vertrouwen en openheid toe organiseren?
Door risico’s vooraf te calculeren en vooral te accepteren. En niet als overheid alles wat fout kan
gaan vooraf willen afdekken, dicht regelen en beheersen. Reageer ‘gewoon’ op wat er gebeurt en
neem vertrouwen mee als uitgangspunt bij al je afwegingen. De prijs van wantrouwen is een
bureaucratisch systeem, waar de menselijke maat is weggeautomatiseerd.
Wat maakt dat het zo moeilijk is voor een overheid om dit te doen?
Ten eerste is het systeem heel complex geworden. En ten tweede vergt werken vanuit vertrouwen
een heel ander paradigma. Meer fundamenteel zit daar achter dat de politiek vaak risico’s niet
accepteert, incidentgedreven reageert op wat er mis is. En dat leidt tot steeds meer controles en
beheersingsdrang bij ambtenaren. In feite zorgt de politiek voor heel veel verticale, hiërarchische
reflexen in de overheidsbureaucratie, terwijl de maatschappelijke omgeving steeds horizontaler
wordt.
Elementen (algemene uitgangspunten) die uit het bovenstaande naar voren komen:
Regels en de naleving van regels zijn belangrijk voor een goed openbaar bestuur
(legitimiteit), maar evenzeer voor een professionele bedrijfsvoering (houvast,
eenduidigheid). Regels zijn er niet zomaar. Regels zijn – als het goed is – afgeleid van een
achterliggend doel. Regels zijn nodig om (bedrijfsvoerings)processen ordelijk (met
regelmaat, dus niet willekeurig) te laten plaatsvinden. Regels zijn belangrijk als basis voor
de processen, maar zijn tegelijk ook weer niet alles zaligmakend.
Naast aandacht voor naleving van de regels moet er ook ruimte zijn voor discussie over
doel en noodzaak (doelgericht management) en over de beheersing van grote risico’s
(risicogericht management). Bij het strikt naleven van regels kan in bepaalde situaties het
doel voorbij geschoten worden. Dit kan ertoe leiden dat bewust van regelgeving wordt
afgeweken en/of (rechtmatigheids)risico’s geaccepteerd worden, mede gebaseerd op
doelmatigheidsafwegingen. Een organisatie kan nu eenmaal niet alles en kan zeker niet
alles tegelijk. De noodzaak of wenselijkheid van regels zal daarom afgewogen moeten
worden tegen de behoefte in de praktijk om over voldoende beleidsmatige ruimte te
beschikken, waarbinnen een organisatie eigen professionele afwegingen kan maken.
Het nemen van de juiste beslissingen zal in de praktijk om permanente keuzes vragen. Het
gaat erom dat die beslissingen/keuzes op basis van professionele afwegingen
(vakmanschap) worden genomen, ervan uitgaande dat die afwegingen zijn gestoeld op
betrokkenheid bij de publieke zaak en moreel besef (de basis voor de legitimiteit en
betrouwbaarheid van de overheid).
De verantwoording over de gemaakte afwegingen en de professionaliteit daarbij, is
sluitstuk. Dit geldt ook voor de bewust geaccepteerde (rechtmatigheids)risico’s.
Bij de controle worden gemaakte afwegingen en dus ook de bewust geaccepteerde
(rechtmatigheids)risico’s, in de beoordeling betrokken.
Het vereist een (maatschappelijke) omgeving die een zekere mate van risico’s accepteert.
7
II. Uitwerking van de relatie tussen vertrouwen, systeemtoezicht en ruimte voor professionele
afwegingen (‘zuurstof in het systeem’) op het gebied van de (financiële) bedrijfsvoering bij
de rijksoverheid
In deze uitwerking zal het accent liggen op de financiële bedrijfsvoering bij het Rijk, maar wel
vanuit de bredere, maatschappelijke ontwikkeling zoals die is aangegeven in hoofdstuk I. Dit
accent op de financiële bedrijfsvoering bij het Rijk vindt zijn grondslag in de doelstelling van deze
gespreksnotitie om uitwerking te geven aan de in de Agenda Controlebestel opgenomen oproep tot
(meer) ‘zuurstof in het (financiële) systeem’ (zie hoofdstuk I).
Tegelijk wordt deze uitwerking geplaatst in het kader van bredere regelgevings-, beheersings-,
verantwoordings- en controle- vraagstukken, omdat alleen vanuit die optiek een specifieke
uitwerking naar de (financiële) bedrijfsvoering bredere toegevoegde waarde heeft. Iedere
paragraaf zal - in de vorm van elementen aan het einde van iedere paragraaf - een specifieke
uitwerking geven voor de (financiële) bedrijfsvoering, maar deze specifieke uitwerking zal zoveel
mogelijk opgebouwd worden vanuit de algemene literatuur/leerstukken. Deze algemene
literatuur/leerstukken worden gelardeerd met kaders die illustratieve voorbeelden/citaten bevatten
vanuit gebieden buiten de (financiële) bedrijfsvoering.
Voor het domein van de bedrijfsvoering wordt in deze gespreksnotitie de ‘PIOFACH’ definitie2
aangehouden en voor het domein van de financiële bedrijfsvoering de ‘F’ in de ‘PIOFACH’ definitie,
inclusief de financiële componenten/koppelvlakken bij de andere letters (personele uitgaven bij ‘P’,
de inkoopuitgaven bij ‘I’ etc.).
De uitwerking zal in samenhang worden beschreven aan de hand van de volgende paragrafen:
1. Zuurstof in de regels (ad 1),
2. Zuurstof in de interne besturing (ad 2),
3. Zuurstof in de verantwoording (ad 3) en
4. Zuurstof in de controle (ad 4).
2 PIOFACH: Personeel, Inkoop, Organisatie, Financiën, Automatisering, Communicatie, Huisvesting (zie verdere omschrijving van dit
begrip op Wikipedia).
8
ad 1. Zuurstof in de regels: de juridische vormgeving van regels in het financiële
bedrijfsvoeringsdomein.
Regelgeving is een middel c.q. instrument om een probleem op te lossen of een bepaald doel te
bereiken, maar geen doel op zich. Het gaat dus altijd om het achterliggende doel (de oplossing van
een probleem/de reden voor de regelgeving). Maar wat als het achterliggend doel door strikte
toepassing van de regelgeving niet bereikt wordt of de regels knellend werken voor de uitvoering?
Dit kan leiden tot kritiek op regels.
Karssing3 maakt onderscheid tussen inhoudelijke en inherente kritiek op regels.
Inhoudelijke kritiek is in principe specifiek: is het bijvoorbeeld echt nodig dat de maximale snelheid
op de snelweg 120/130 kilometer per uur is? Waarom mogen niet alle winkels overal gewoon op
zondag open zijn? Waarom mag je wel een relatiegeschenk van 49 euro aannemen en niet van 51
euro?
Daarnaast kan de kritiek zich richten op het karakter van regels, namelijk op de eigenschappen van
regels die voor alle regels in meerdere of mindere mate gelden, ongeacht hun inhoud:
Regels zijn noodzakelijkerwijs algemeen geformuleerd en bieden dus weinig
variatieruimte, wat kan leiden tot star en rigide optreden.
Er zijn altijd meer situaties zijn dan regels, hetgeen betekent dat het niet mogelijk is om
via regels voor alle gevallen te bepalen wat gepast is.
Regels kunnen elkaar tegenspreken, hetgeen betekent dat er bijvoorbeeld tweede-orde
regels nodig zijn die aangeven welke regel in een conflicterende situatie voorrang heeft.
De inhoud van regels is niet altijd helder, zodat onduidelijk is of de regel in een bepaalde
situatie geldt of welke handeling in een bepaalde situatie wordt voorgeschreven.
Regels lopen in een dynamische wereld vaak achter op de ontwikkelingen, hetgeen
betekent dat het handelen van nu wordt bepaald door de normen van gisteren.
Maar tegelijk geldt dat regels er niet zomaar zijn. Het zou verkeerd zijn regels als een
‘scheldwoord’ te gaan beschouwen. Karssing maakt dit in zijn hiervoor genoemde artikel duidelijk
door tegelijk aan te geven dat regels in het algemeen zinvol en nuttig zijn. We moeten in zijn ogen
regels niet te gemakkelijk ‘bij het vuilnis zetten’ in een praktijk waarin rechtmatigheid,
rechtsgelijkheid en rechtszekerheid belangrijke uitgangspunten zijn. Deze kernbegrippen van onze
rechtsstaat beschermen de burger tegen de grote macht van de overheid. Juist regels dragen bij
aan de realisering van de uitgangspunten. Maar regels doen meer:
Regels bieden ze houvast, want ze geven een richtlijn welk handelen in een bepaalde
situatie gepast is.
Regels maken eenduidig optreden mogelijk, want ze gelden voor iedereen.
Regels vereenvoudigen en versnellen ze beslissingen, want het is niet nodig in iedere
situatie opnieuw te bepalen welke handeling gepast is.
Regels geven duidelijkheid, want iedereen weet waar hij of zij aan toe is.
Het geeft ons bij voorbeeld een uitermate gerust gevoel dat er een (verkeers)regel is die iedereen
verplicht om in het verkeer rechts te rijden.
Regels zijn er in verschillende gradaties (wettelijke/bestuurlijke, algemene/meer specifieke,
verplichtende/minder verplichtende, inhoudelijk normerend/procedureel normerend, etc.). Naleving
van regels dient in principe vanzelfsprekend te zijn (ze zijn er niet voor niets). Maar regels en het
naleven van regels moet aan de andere kant ook weer geen automatisme zijn. Het ontslaat je niet
3 Edgar Karssing: Uit de boekenkast van de Bedrijfsethiek (44). Tijdschrift voor Compliance, mei 2012.
9
van je eigen verantwoordelijkheid4: zijn de gevolgen van de naleving van een regel ethisch te
verantwoorden en/of in concrete situatie wel in overeenstemming met de doelstelling van de regel.
‘Volgens de regels afgehandeld’ betekent niet per definitie dat het probleem goed is opgelost.
Citaat:
‘Wie handelt conform regels handelt niet per definitie goed, hij is alleen niet in overtreding. Ik
verwijt het AMC, de IGZ en het OM niet dat ze zich aan de regels gehouden hebben. Ik verwijt hen
gebrek aan wijsheid, inzicht en compassie bij het hanteren van de regels’.
Mevrouw Tromp, weduwe huisarts in Tuitjehorn.
Het gaat om het besef dat – in de context van bedrijfsvoering binnen de publieke sector
waarbinnen het doel van de regels voornamelijk gericht is op bevordering van de doelmatigheid
en/of uniformiteit - een regel niet in alle situaties tot dat doel zal leiden. Dat kan een
(aanvullende) beoordeling vergen die alleen in het licht van de bedoeling van de regel gemaakt kan
worden5.
Dit roept de vraag op hoe hiermee bij de vormgeving van (financiële) regels rekening gehouden
kan worden.
Een heel duidelijke opinie op dit gebied geven Petrosjan Damen en Hans Ludo van Mierlo in het
artikel ‘Geef banken het recht van regels af te wijken’ in Financieel Dagblad van 9 oktober 2015
waarin zijn verwijzen naar het concept van goed zeemanschap in het Binnenvaart Politie
Reglement. De auteurs behandelen daarin het volgende dilemma voor bankmedewerkers:
In de bankierseed, die elke bankmedewerker inmiddels heeft afgelegd, belooft hij ‘een zorgvuldige
afweging (…) tussen de belangen van partijen die bij de onderneming betrokken zijn, in het
bijzonder die van de klanten en de maatschappij’. Met de eed wordt dus niet alleen het klantbelang
centraal gesteld, maar ook een beroep gedaan op de deskundigheid en het morele kompas van
iedere individuele medewerker. Met enerzijds de druk van regels en van inflexibele IT-systemen en
anderzijds hun belofte om ook hun eigen professionele afwegingen in te brengen, staan financiële
dienstverleners vaker voor het dilemma: houd ik me strikt aan de regels of kan ik ook een eigen
afweging maken? Bij dit hinken op twee gedachten zijn regels en IT-processen steeds vaker de
winnaars. Wat is een goede oplossing voor het dilemma.
De auteurs verwijzen daarvoor naar het concept van ‘goed zeemanschap’. Dit officiële begrip is
vastgelegd in het Binnenvaart Politie Reglement. Daar staat er letterlijk: ‘De schipper moet in het
belang van de veiligheid of de goede orde van de scheepvaart, voor zover dit door de bijzondere
omstandigheden waarin het schip zich bevindt is geboden, volgens goed zeemanschap afwijken van
de bepalingen van dit reglement.’Het lijkt een nogal tegenstrijdig principe: een generieke regel die
stelt dat je moet afwijken van de regels indien de specifieke situatie dat vereist. Toch is het een
logische manier om de beslissingsbevoegdheid te leggen waar deze hoort. Een schipper kan in een
concrete situatie het best zelf beoordelen wat er dient te gebeuren. De regels zijn een belangrijk
extern stuurmiddel, maar volgens dezelfde regels moet hij ook zijn gezond verstand gebruiken. Het
principe van goed zeemanschap kan uitkomst bieden voor de spagaat waar financiële
dienstverleners in verkeren.
De auteurs pleiten daarom voor het introduceren van het begrip ‘goed vakmanschap’ in de
financiële sector. Dit begrip geeft aan dat er steeds een optimum gezocht dient te worden tussen
4 Voor de filosofen onder ons: lees Hannah Arendt, de banaliteit van het kwaad (proces Eichmann).
5 Zie ook Onderzoek cie. Addink (Integriteit, belangenverstrengeling en goed bestuur op gemeentelijk niveau, gemeente Utrecht), waarin
ingegaan wordt op het belang van de beginselen goed bestuur, het beginsel achter de regel en problemen voorkomen door vooraf goede
afspraken te maken.
10
de externe kaders en de concrete situatie. Dit concept biedt de professional de ruimte, nee dwingt
hem zelfs, steeds zelf na te blijven denken. ‘Goed vakmanschap’ zorgt voor de synthese tussen de
generieke regels en de specifieke toepassing daarvan.
De auteurs pleiten er niet voor dat financiële dienstverleners zich niet meer aan de regels hoeven
te houden. Wel bepleiten ze dat de financiële dienstverleners aangemoedigd worden zelf
professioneel te blijven denken. Zodra zij op situaties stuiten waarbij regels of systemen het
klantbelang onnodig tegenwerken, dienen zij ergens aan te bel te kunnen trekken. Regels en
systemen zijn immers slechts hulpmiddelen en op zich niet heilig. In het belang van de klant moet
daar eventueel van afgeweken kunnen worden. Het afwijken van regels ten behoeve van de klant
mag nooit een doel op zichzelf zijn. Het zal in de ogen van de auteurs ook eerder uitzondering dan
regel zijn.
Om het concept van ‘goed vakmanschap’ in de praktijk goed te laten werken, hoeven volgens de
auteurs slechts enkele randvoorwaarden ingevuld te worden. Zo moet elke bewuste afwijking van
de regels in het belang van de klant professioneel gesignaleerd, beargumenteerd en geregistreerd
worden. Op die manier kunnen interne en externe toezichthouders zicht houden op de
professionaliteit en integriteit binnen de organisatie. Is er sprake van systematische afwijking van
de regels dan is er kennelijk iets aan de hand. Het kan wijzen op de behoefte aan betere uitleg van
de regels, aan betere scholing of de noodzaak de regels of de IT-programma’s aan te passen.
Bij de vormgeving van de regelgeving kan je een onderscheid maken regels die primair beogen
duidelijkheid te verschaffen (rule based regelgeving) en regels die meer uitgangspunten formuleren
(principle based regelgeving).
Hierbij kan een vergelijking gemaakt worden met het onderscheid op het gebied van integriteit
tussen de as ‘goed – fout’ (naleven/regels: doen wat ik moet doen!) en de as ‘goed – goed’
(oordelen/argumenten: wat moet ik doen?). In het onderstaand schema, ontleend aan Wirtz6 wordt
dit inzichtelijk gemaakt.
6 Raoul Wirtz (universiteit Nyenrode) in: Integriteit en het beoordelen van soft controls, congresverslag ministerie van Financiën, 2007.
11
Van belang op de as ‘goed-goed’ is een zorgvuldige afweging in het besluitvormingsproces. Wirtz
wijst hiervoor op het navolgende 6 stappen plan (moreel intervisiemodel)7:
1. Welke beslissingen moet ik nemen?
2. Wie zijn de belanghebbenden?
3. Wat zeggen de beroepsregels, bedrijfscodes of andere bindende voorschriften?
4. Welke argumenten kunnen worden aangevoerd?
5. Wat is mijn conclusie?
6. Doe ik het ook?
Ditzelfde onderscheid (goed/fout tegenover goed/goed) komt terug in de juridische versus de
bestuurlijke benadering van toezicht en handhaving. In de juridische benadering staat de wettelijke
bepaling centraal: zijn de elementen van een (verbods)artikel ingevuld en zijn er (straf)sancties,
dan volgt in principe vervolging (juridische afweging). Het gaat hier primair om het naleven. Bij de
bestuurlijke benadering staat de doelstelling van het beleid centraal en spelen de achtergronden en
omstandigheden bij de beoordeling een belangrijke rol (bestuurlijke afweging). Echte
(straf)sancties zullen hier niet voorop staan, meer zal de inzet zijn: stimuleren.
Het gevaar bij een te sterke focus op de juridische benadering is dat naleving naar de letter van de
regel doel op zich wordt. Dit is problematisch als men zich realiseert dat risico’s per situatie kunnen
verschillen. Daarnaast bestaat het gevaar voor tunnelvisie (myopia) als men een eenmaal gevormd
juridisch standpunt kost wat het kost wil onderbouwen en blind wordt voor nuancerende
observaties.
Daartegenover bestaat bij de bestuurlijke benadering het gevaar dat men al ‘polderend’ grenzen
voorbij gaat die eigenlijk niet overschreden hadden mogen worden. Daarbij kan men sterk
afhankelijk worden van de motivatie en de competenties van de betreffende organisaties die aan
de ‘principle based regels’ inhoud moeten geven. Die motivatie en/of competenties zal van geval
tot geval verschillen. De ene organisatie kan meer ruimte (beleidsvrijheid) aan dan de andere
vanwege een hoger ‘volwassenheidsniveau’. Daarom houdt een keuze voor het geven van een
grote mate van ruimte aan organisaties een bepaald risico in, zeker wanneer daarbij geen rekening
wordt gehouden met de mate van professionaliteit/volwassenheid van die organisaties, inclusief
een voldoende ontwikkeld moreel besef. Enig risico zal tot op bepaalde hoogte geaccepteerd
moeten worden, maar idealiter loopt de mate van het geven van ruimte/beleidsvrijheid parallel met
de mate van professionaliteit om deze ruimte op een goede wijze in te vullen. Dit betekent
maatwerk op basis van voldoende (gerechtvaardigd) vertrouwen in die organisaties.
Rapport Commissie Governance NVZD d.d. 27 maart 2015
‘Er zijn in de kern twee mogelijke richtingen te onderscheiden bij de beantwoording van de
vraag hoe de kwaliteit van de governance verder kan worden ontwikkeld.
Tot voor kort was het gangbare antwoord voor een aanzienlijk deel gericht op verdergaande
regulering en sanctionering van bestaande processen en procedures. Verwezen kan in dit
verband worden naar de eerder door het Ministerie van Volksgezondheid, Welzijn en Sport
(VWS) aangekondigde nadere specifieke regels. Voorts heeft de minister van Veiligheid en
Justitie nieuwe wetgeving aangekondigd die de aansprakelijkheid van bestuurders en
toezichthouders van verenigingen en stichtingen, met inbegrip van zorginstellingen, zal
aanscherpen. Deze benadering gaat primair uit van aanscherping en strikte naleving van
bestaande systemen.
Het tweede mogelijke antwoord richt zich niet primair op het aanscherpen van regels, maar
op het verbeteren van de governance en het zodanig inrichten daarvan dat alle onderwerpen
die voor een zorginstelling van belang zijn op een samenhangende wijze kunnen worden
bezien. In deze benadering is er met name ook aandacht voor de grote nadelen van
(over)regulering in de zorg en de gevolgen en beperkingen die dat meebrengt voor het
bestuur in de zorg. Terecht constateert de Commissie Halsema dat de sturing door statische
7 Nader uitgewerkt door Edgar Karssing (universiteit van Nyenrode) in: Uit de boekenkast van de Bedrijfsethiek (44). Tijdschrift voor
Compliance, nr. 2 mei 2012.
12
regels misschien wel helpt om regels te doen nakomen, maar dat dat nog geen waarborg is
voor goed bestuur. Goed bestuur gaat ook en vooral over goede bestuurders, hun kennis,
ervaring, houding, gedrag en het perspectief en de doelen die zij, samen met allen die in de
zorg werken, cliëntenorganisaties, belanghebbenden in het werkgebied en Raden van
Toezicht stellen. Daarin staan centraal 'lastige' (zoals bedoeld door de Commissie Halsema),
maar goede gesprekken over te maken keuzes en verantwoordelijkheden. Dat is een
benadering die primair gericht is op de vraag wat er in de concrete en altijd veranderende
omstandigheden van cliënten kan worden gedaan om de zorg voor hen te optimaliseren.
De commissie pleit nadrukkelijk voor deze tweede benadering. De zorg is te complex en te
belangrijk om in systemen te laten stollen. Natuurlijk hoort bij die complexiteit ook een
aanzienlijke mate van regulering, onder andere ter waarborging van een zorgvuldig beheer
van de middelen alsmede de controle daarop. Maar er moet ook ruimte zijn en worden
gelaten voor wat juist niet in bestaande systemen gevangen kan worden, maar wat
uiteindelijk in de concrete leefwereld van cliënten en voor de inwoner van het werkgebied
het verschil maakt’.
Bemelmans-Videc8 wijst in dit verband op de invloed van disciplines in het openbaar bestuur. Zo is
de waarde van rechtmatigheid verbonden met de juridische discipline, die van de efficiëntie met de
economische discipline. Dilemma’s die uit deze verschillende invalshoeken voortvloeien worden
vaak onvoldoende expliciet gemaakt en de gemaakte keuzes zijn eveneens vaak niet helder. Zij
pleit voor een multi-disciplinair perspectief met beoordelingsmaatstaven van effectiviteit en
efficiëntie, van rechtmatigheid (inclusief de beginselen van behoorlijk bestuur) en van democratie
(die inspraak en controle impliceert). Je bent dan op zoek naar de waarden aan de hand waarvan
de weging van het relatieve belang kan plaatsvinden. Het samenstel van deze waarden die
specifiek verbonden zijn met de uitoefening van het bestuursambt, vormt de ‘bestuursethiek’.
Bemelmans-Videc constateert dat controleorganen die uitspraken doen over effectiviteit en
efficiëntie maar tegelijk ook over rechtmatigheid van overheidshandelen, komen te staan voor
dezelfde dilemmatische oordeelsvorming als geldt voor alle bestuurlijke oordelen. Haar
waarneming (in 1993) is dat een algemene auditing theorie waarin het gelijktijdige realiseren van
rechtmatig en efficiënt overheidshandelen geïntegreerd is (kortom: een handleiding voor
bemiddeling en integratie), niet voorhanden is.
En nu, anno 2016?
Een bekend uitgangspunt op het gebied van efficiëntie is het 80/20 principe: met 20% aan
inspanning, kan 80% van het resultaat bereikt worden. Dat is efficiënt. Het behalen van de laatste
20% aan resultaat kost 80% aan inspanning. Dat is niet efficiënt.
Zou dit principe ook gelden voor regels en procedures? Zou je met 20% aan regels en procedures
80% van het beoogde effect kunnen behalen en kost het behalen van de laatste 20% aan beoogd
effect de resterende 80% aan regels en procedures? Als dit zo is, zou het dan niet beter zijn die
laatste 20% op een andere, slimmere manier te realiseren?
In welke richting zou je dan moeten denken?
Je kan een fietsband zo maken dat hij nooit lek gaat. Probleem is alleen dat je er dan ook
nauwelijks een meter mee vooruit komt en het fietsen bovendien weinig comfortabel is. Vergelijk
het bekende voorbeeld van het betonnen zwemvest: volgens alle specificaties, maar drijven, ho
maar.
Aan de andere kant kan je ervoor zorgen dat je heel handig (professioneel) bent in het plakken van
een band, dan kan je de band heel licht maken. Maar als de band zo licht is, dat je om de 100
meter lek rijdt, schiet je daar ook niet veel op.
8 Rede ‘Bekwamen in besturen, over disciplines en dilemma’s in de bestuurlijke oordeelsvorming (Nijmegen,1993).
13
Kortom, het gaat om het evenwicht tussen enerzijds als basis een band die voldoende sterk, maar
toch licht en comfortabel is en anderzijds jouw handigheid (professionaliteit) om de band te kunnen
plakken als je toch lek rijdt.
Vertaald naar regels: als basis regels en procedures (maar wel slim en slank en in belangrijke mate
afdoende), gecombineerd met - voor het resterend beoogd effect - ruimte voor professionele
afwegingen door mensen die dat kunnen waar maken (kwaliteit van mensen).
Niessen9 bepleit bij dit soort afwegingen om - ook na een incident – te investeren in de kwaliteit
van mensen en niet om direct te kiezen voor ‘de vlucht naar voren’, een vlucht in (nog meer)
regels en structuren. Kennis, ervaring en vaardigheden zit in zijn ogen in mensen. Het succes van
een organisatie is toch vooral gebaseerd op de (individuele) prestaties van de mensen die daar
werken. Een organisatie die daarvan uitgaat is aantrekkelijk voor nieuw personeel en behoudt
tevens beter de goede medewerkers. Zo snijdt het mes aan twee kanten.
Als het gelijktijdig realiseren van rechtmatig en doelmatig overheidshandelen (zie Bemelmans-
Videc) nog steeds de uitdaging is waar wij heden te dage voor staan, ook op het terrein van de
(regels voor de) bedrijfsvoering, wat is daar dan in ieder geval voor nodig?
Je zal allereerst moeten weten op welk speelveld jij je op een bepaald moment bevindt: is dat het
speelveld van goed/fout (strikte naleving van regels/juridische benadering) of is dat het speelveld
van goed/goed (ruimte voor het maken van professionele afwegingen/beleidsmatige benadering)?
Daarover zal in ieder geval duidelijkheid moeten bestaan.
Daartoe kan onderscheid gemaakt worden tussen:
a. Wettelijke voorschriften
Allereerst zijn er de wettelijke (algemeen verbindende) voorschriften, dat wil zeggen de
voorschriften die door de EU-wetgever of de nationale wetgever zijn gegeven zoals EU-regelgeving,
wetten, AMvB’s, ministeriele regelingen10. Het kan hierbij gaan om inhoudelijke, materiële
voorschriften, maar ook om meer procedurele c.q. formele eisen waaraan voldaan moet worden.
Deze laatste zijn vaak gericht op een ordelijke procesgang, maar het kan ook gaan om
rechtsbescherming of zorgvuldige besluitvorming.
Voorbeelden van wettelijke voorschriften op het gebied van de (financiële) bedrijfsvoering zijn de
voorschriften in de Comptabiliteitswet en de Rijksbegrotingsvoorschriften. Deze regels en
procedures zijn nodig of wenselijk om administratieve, begrotings- en verantwoordingsprocessen
ordelijk (regelmaat, uniformiteit, voorkomen willekeur) te laten verlopen. Dat is van belang uit
oogpunt van een goed beheer (doelmatigheid) en een controleerbaar beheer (verantwoording). Als
regels (ook) betrekking hebben op derde partijen, dan is ordelijk beheer ook van belang vanuit
rechtszekerheid en rechtsgelijkheid (rechtmatigheid). Het niet goed of onvolledig toepassen van
wettelijke regels door een overheidsorganisatie leidt, voor zover dit van invloed is op de
betrouwbaarheid van de gepresenteerde financiële informatie in een jaarverslag, tot financiële
onrechtmatigheid en kan daardoor gevolgen hebben voor de controleverklaring van de accountant
of voor het rechtmatigheidsoordeel van de Algemene Rekenkamer.
De vraag is of het nodig of wenselijk is om alle (financiële) bedrijfsvoeringsprocessen wettelijk te
regelen. Het antwoord hierop is nee. Bedrijfsvoering bij de rijksoverheid betreft immers de interne
organisatie van een ministerie (of een onderdeel daarvan). De minister als bestuurder/manager is
grondwettelijk met de leiding van een ministerie belast11 en heeft, als de wetgever hem daarin niet
beperkt, de beleidsvrijheid om zijn bedrijfsvoering zelf vorm te geven. Als de
9 Ron Niessen in Vluchten kan niet meer. Amsterdam, Vossiuspers, 2001
10 Zie Integraal Afwegingskader voor Beleid en Regelgeving (IAK). Het IAK is een nuttig instrument voor het maken van beleid en
regelgeving. Het laat zien welke afwegingen daarbij aan de orde zouden mo eten komen (7 vragen) en het Interventie kompas (CCV).
11 Artikel 44 Grondwet.
14
bedrijfsvoeringswetgevers (m.n. in de Comptabiliteitswet, Ambtenarenwet, Aanbestedingswet,
e.d.) zich regelgevend inhouden, kan er veel overgelaten worden aan de ministers individueel als
hoofd van hun ministerie of collectief als lid van de ministerraad. Dan kan de bedrijfsvoering via
bestuurlijke regels gestuurd en beheerst worden. Dat heeft consequenties voor de (financiële)
verantwoording (geen financiële onrechtmatigheid mogelijk, wel een tekortkoming in het financieel
beheer) en voor de mogelijkheden rijksbreed meer differentiatie aan te brengen in (de toepassing
van) de bedrijfsvoeringsregels, waardoor meer maatwerk mogelijk wordt (‘zuurstof in het
systeem’).
In de op 8 maart 2016 bij de Tweede Kamer ingediende Comptabiliteitswet 2016, wordt hiermee al
zo veel mogelijk rekening gehouden. Uitgangspunt is om in die wet en de daarop te baseren
(wettelijke) lagere regelgeving uitsluitend regels te stellen met betrekking tot de volgende
onderwerpen.
regels die direct van belang zijn voor de Staten-Generaal uit oogpunt van budgetrecht
(autorisatie en verantwoording).
regels die direct van belang zijn voor de taakuitvoering van de controleurs (ADR en AR).
administratieve of technische normen of verplichtingen die aan derde partijen worden
opgelegd (bijv. aan RWT’s, ZBO’s).
regels waarbij de rechtmatigheid van financiële informatie in het geding kan komen.
alle overige financiële-bedrijfsvoeringsonderwerpen kunnen, indien regeling nodig of
wenselijk is, bestuurlijk worden geregeld.
Hierbij geldt: hoe specifieker en stringenter het voorschrift aangeeft welk gedrag/handeling goed
en welke fout is, hoe meer het niet goed of onvolledig daaraan voldoen min of meer automatisch
non-compliant gedrag zal betekenen. Het niet goed of onvolledig naleven van dit soort regels zal
bij handelingen met financiële consequenties leiden tot onrechtmatigheid.
Tegelijk is het zo dat hoe specifieker en stringenter de regels geformuleerd zijn (geen ruimte
geven), hoe meer deze zullen leiden tot niet-nadenken. Dit kan ook juist de bedoeling van het
voorschrift zijn, maar dat zou in deze situatie idealiter beperkt moeten zijn tot de essentiële
regels12. Daarvan kan bij voorbeeld sprake zijn als er belangrijke overwegingen zijn dat
betrokkenen allemaal hetzelfde gedrag/handeling vertonen vanwege vergelijkbaarheid/erop
kunnen rekenen. Dit kan zijn: uitgaven in de financiële administratie op dezelfde manier boeken.
Vergelijk in het verkeer: allemaal rechts rijden. Hierover moeten we niet nadenken, maar gewoon
doen. Dit raakt de basis die op orde moet zijn. Vanuit een oogpunt van naleving is het daarbij wel
belangrijk dat betrokkenen hiervan het nut inzien (intrinsieke motivatie) en/of het voor hen weinig
(extra) moeite of kosten betekent.
Vergelijk het voorbeeld van het rode stoplicht waarvan in principe iedereen wel het nut inziet, maar
niet midden in de nacht wanneer het rustig is. Door technologische ontwikkelingen is het steeds
beter mogelijk om met de stoplichten actief op de verkeersintensiteit in te spelen, waardoor het
aantal overtredingen vanwege het gevoel van zinloosheid afneemt (stoppen voor het rode stoplicht
als er geen andere auto ook maar enigszins in de buurt is). De regel is hetzelfde gebleven, maar de
praktische toepassing richt zich flexibel op de zin van de regel.
De aanbestedingsregels op basis van EU-regelgeving zijn een voorbeeld van stringent
geformuleerde regels. Niet naleving van deze regels bij inkooptrajecten leidt in principe tot de
beoordeling ‘onrechtmatig’.
In het een ronde tafelgesprek ‘Innovatief inkopen’ onder auspiciën van PIANO (Expertisecentrum
Aanbesteden) wordt geconstateerd dat er vanwege de stringente regels bij de overheid een
welhaast obsessieve focus op het toetsen van de rechtmatigheid van het inkoopproces is. Uit angst
voor fouten, waarop de organisatie wordt afgerekend. Toch wordt een pleidooi gehouden voor het
12 Deze worden ook wel de ‘minimal critical specifications’ (het zo minimaal mogelijke aantal kritieke eisen) geno emd.
15
durven experimenteren met innovaties, maar dan wel binnen de wettelijke regels. In een concrete
casus is met een selectie van aannemers kennis en informatie gedeeld over wat uiteindelijk het
resultaat van het project moest worden en is gezamenlijk verantwoordelijkheid gedragen voor het
eindresultaat. Dit werd alleen niet gedaan in het feitelijke selectie- en gunningsproces (omdat daar
de wettelijke ruimte voor een innovatiedialoog beperkt is), maar in een eerder traject: de strategie
en informatiefase. Daarin hebben partijen wel ruimte hebben om met elkaar te overleggen.
Daarnaast is nadrukkelijk ook voldoende flexibiliteit in het contract zelf ingebouwd.
Niet alle wettelijke voorschriften zijn even stringent voorgeschreven (één mogelijkheid: goed of
fout). Een wettelijk voorschrift kan ook (beleids)ruimte bevatten door het opnemen van:
doelstellingen of uitgangspunten die bij een beslissing in acht moeten worden genomen
(principles),
de mogelijkheid van afwijking, al dan niet met procedurele waarborgen of een
motiveringsplicht (comply or explain),
een (limitatieve) keuzemogelijkheid,
een ‘kan’ bepaling (discretionaire bevoegdheid: geeft de bevoegdheid, maar geen plicht).
Vanuit ‘zuurstof in het systeem’13 kan op het gebied van de (financiële) bedrijfsvoering op
onderdelen beleidsruimte gecreëerd worden door op het hogere regelgevingniveau (CW/AMvB’s)
zoveel mogelijk de doelstellingen te formuleren en op het niveau van de uitwerking in
uitvoeringsvoorschriften (ministeriële regels, bestuurlijke regels) zoveel mogelijk regels opnemen
die ‘comply or explain’ zijn voor de departementen.
Minister Kamp (EZ) gaat in zijn brief aan de Tweede Kamer van 13 januari 2016 inzake
“normalisatie en advies van Actal over regeldruk en normen” in op de keuze tussen ‘niet opnemen
van een norm’ of ‘het facultatief opnemen van een norm’ in regelgeving: ‘Actal geeft aan dat niet
verwijzen naar normen de voorkeur geniet boven verwijzingen waarbij toepassing van de norm
facultatief is. Hier plaats ik een kanttekening bij aangezien juist facultatieve verwijzingen naar
normen kunnen bijdragen aan het beperken van regeldruk en creëren van rechtszekerheid. Indien
in overleg gedragen normen tot stand zijn gekomen en het aannemelijk is dat de norm een
evenwichtige weerspiegeling is van de belangen van de partijen kan de wetgever eenvoudig en
snel, zonder omvangrijke nieuwe voorschriften uit te vaardigen, aansluiten bij de praktijk en
kunnen bedrijven inspelen op nieuwe ontwikkelingen en innovaties. Een doelvoorschrift in de
regelgeving in combinatie met een de mogelijkheid een vrijwillige norm toe te passen om aan dat
doelvoorschrift te voldoen kan in dat geval belangrijke voordelen hebben. Enerzijds hoeft iedere
individuele ondernemer niet zelf een methode te bedenken om aan de wetgeving te voldoen en
kunnen ondernemers gebruik maken van de methode in de norm die vermoeden van
overeenstemming geeft met het wettelijke doelvoorschrift. Anderzijds geeft de facultatieve
verwijzing naar de norm rechtszekerheid zonder dat toepassing verplicht is’.
Maar ook op andere wijze kan een zekere mate van ‘zuurstof in het systeem’ in de regelgeving
opgenomen worden door te bepalen dat degene die de regeling uitvaardigt (veelal de minister van
Financiën) de bevoegdheid heeft om gemotiveerd een uitzondering op de regel (aan het
departement) toe te staan, uiteraard binnen de kaders van de ‘hogere regelgeving’.
Op een aantal plekken binnen de overheid wordt door de regelgever expliciet ruimte geboden voor
experimenten om af te wijken van wet- en regelgeving:
- Wet innovatieve experimenteerruimte onderwijs: excellente scholen mogen voorstellen doen om
af te wijken van regels en wetgeving.
- Staatssecretaris Klijnsma (SZW) laat een wetenschappelijk kader opstellen voor experimenten
met de regels rondom te bijstand met het oog op een komende Amvb, die dit moet regelen.
13 Zie par. 1 :uitgangspunten en relevante omgeving
16
- In Innovatieplaats Cure zijn door VWS 15 zorgaanbieders geselecteerd voor de mogelijkheid om -
binnen voorwaarden - zelf bedachte, regelarme werkwijze in de praktijk te brengen (tijdelijk buiten
werking stellen van landelijke wet- en regelgeving).
- AFM en DNB werken samen aan ruimere mogelijkheden voor financiële innovatie door de
instelling van een Innovation Hub en aanpassingen binnen en buiten wet- en regelgeving (instelling
regulatory sandbox’).
b. Bestuurlijke regels
Naast wettelijke voorschriften zijn er ook bestuurlijke regels, bijvoorbeeld organisatieregels,
beleidsregels en administratieve organisatie regels.
Dit kunnen, zoals wettelijke regels, externe regels zijn (bijvoorbeeld rijksbrede regels die met
instemming van de ministerraad zijn gesteld), maar ook interne regels van een minister geldend
voor alleen zijn ministerie. Bestuurlijke regels kunnen verplichtend van karakter zijn (stringente
regels), maar ook de mogelijkheid ingebouwd hebben om er gemotiveerd van af te kunnen wijken
(comply or explain-regels). Dat is een bestuurlijke keuze.
Dergelijke regels zijn opgenomen in documenten met verschillende benamingen, zoals
aanwijzingen, codes, circulaires, kaders, leidraden, richtlijnen, instructies e.d. Verplichtende
(rijksbrede) bestuurlijke regels zijn de aanwijzingen van de minister-president, waaraan alle
minister(ie)s gebonden zijn. Een voorbeeld hiervan zijn de ARIV (Algemene
RijksInkoopvoorwaarden) en de Aanwijzingen inzake de regelgeving. Een voorbeeld van minder
verplichtende bestuurlijke regels is de Code contractprocesbeheer.
Het niet goed of onvolledig toepassen van bestuurlijke regels door een overheidsorganisatie leidt
doorgaans tot een tekortkoming in het beheer, maar niet tot onrechtmatigheid.
c. Adviserende regels
Naast - wettelijke en bestuurlijke - regels in strikte zin, zijn er ook regels met een adviserend
karakter. Adviserende regels zijn in informatieve documenten (handreikingen, best practises
etc.) opgenomen. Wat er in deze informatieve documenten staat is facultatief. Dit betekent dat het
niet verplicht is om wat er in deze documenten staat, op te volgen (maar vaak wel handig). De
documenten zijn dan ook bedoeld als achtergrondinformatie, als hulpmiddel bij het toepassen van
regelgeving of als een nadere toelichting op de regelgeving. Niet navolgen van in dergelijke
documenten opgenomen aanbevelingen, heeft dus geen consequenties.
Opgepast moet worden dat dit soort ‘goedbedoelde’ handreikingen in de praktijk tot pseudo-
regelgeving verwordt, doordat de aanbevelingen worden gehanteerd als normen waaraan de
bedrijfsvoering moet voldoen ‘om in control te zijn’.
d. Geen regels
Tenslotte kan natuurlijk altijd ook besloten geen regels op te stellen en het volledig aan de (eigen)
verantwoordelijkheid van betrokkenen over te laten en/of gedrag te beïnvloeden met andere
instrumenten dan regelgeving zoals convenanten/afspraken, voorlichting, zelfregulering, peer
reviews, visitatie, etc. Regels kunnen gedrag beïnvloeden, maar kunnen ook tegengestelde
(neven)effecten hebben.
Intrinsieke motivatie door het delen van de doelstelling zonder regels (samenwerken), heeft vaak
een positievere invloed op het gedrag dan extrinsiek afgedwongen motivatie door het (eenzijdig)
opleggen van regels. Consequente toepassing van het Integraal Afwegingskader voor Beleid en
Regelgeving (IAK) dient ervoor te zorgen dat niet te lichtvaardig tot regelgeving wordt overgegaan.
17
Elementen die uit het bovenstaande naar voren komen:
Wees terughoudendheid met regelgeving. Vaak zijn er ook andere
beïnvloedingsmogelijkheden: convenanten/afspraken, voorlichting, informatieve
documenten, peer reviews, visitaties. Als regels worden gesteld, moet het doel ervan
duidelijk zijn en opgenomen zijn in de toelichting.
Regel bedrijfsvoeringaangelegenheden zoveel mogelijk als bestuurlijke of adviserende
regels, niet als wettelijke regels.
Regel in stringente wettelijke of bestuurlijke regels alleen de essentiële kaders en
bepalingen (‘minimal critical specification’). Het gaat dan om zaken waar ‘goed of fout’ in
principe geen ruimte voor discussie toelaat: zaken waarop je zeker moet kunnen rekenen
en/of zaken waarvoor uniformiteit geboden is. Bij de bedrijfsvoering zullen organisaties
zich hier strikt aan moeten houden, zoveel mogelijk vanuit intrinsieke motivatie: het
onderschrijven van de doelstelling.
Geef bij stringente bestuurlijke regels aan degenen die de regel heeft uitgevaardigd
(minister/bestuurder/manager), de bevoegdheid om in bijzondere gevallen - gemotiveerd
en met waarborgen omgeven - uitzonderingen toe te staan.
Regel de overige bedrijfsvoeringzaken zoveel mogelijk als bestuurlijke regels met
beleidsruimte (comply or explain). Hier zijn afwegingen mogelijk: er is geen sprake van
‘goed of fout’. Er kan ook een ander goed verhaal zijn (‘goed/goed’).
Maak voor ‘beïnvloeding’ gebruik van informatieve handreikingen. Deze handreikingen
moeten echter niet tot regels (normenkader) uitgroeien. Het volgen van deze ‘adviserende
regels’ kan handig zijn: er is goed over nagedacht, maar er is geen enkele verplichting.
18
Ad 2. Zuurstof in de interne besturing: de vertaling naar het interne besturingsmodel op het gebied
van de (financiële) bedrijfsvoering
Onder het interne besturingsmodel14 wordt verstaan: alle formele en informele interne processen,
afspraken, procedures en gedragsbeïnvloedende maatregelen (dus hard en soft controls), die een
organisatie gebruikt om haar doelen te realiseren. Hierbij kan aangesloten worden bij de ‘Levers of
control’ van Simons (1994):
Strategy
Strategische
onzekerheden
Risico’s te
vermijden
Kern
waarden
KSF’en
Beliefs
systems
Boundary
systems
Interactive
control systems
Diagnostic
control systems
Operationeel
niveau
Strategisch
niveau
Soft controls Hard controls
Simons
Belief Systems: Beheersing door het inspireren en verkrijgen van commitment voor de
kernwaarden van de organisatie:
- Strategische uitgangspunten/missie
- Gemeenschappelijke ethische waarden en integriteit
- Leiderschap (voorbeeldgedrag)
- Kennis en vaardigheden medewerkers
Boundary Systems: Beheersing door aangeven van de grenzen c.q. regels
- Normen en regels
- Organisatiestructuur en verdeling van verantwoordelijkheden en bevoegdheden
- Interne beheersingsmaatregelen (controles, procedures)
Diagnostic Control Systems: Beheersing door het vaststellen van doelen en de bewaking van de
realisatie daarvan.
- Doelstellingen en indicatoren
- Planning
- Monitoring
- Bijstelling o.g.v. afwijkingen
Interactive Control Systems: Beheersing door open communicatie, dialoog en leren.
14 Het interne besturingsmodel zal in het vervolg van deze gespreksnotitie aangeduid worden als het management control systeem.
Daarmee wordt hetzelfde bedoeld.
19
- Open communicatie (intern en extern)
- Flexibele informatiestromen en informatiesystemen
- (Inter)actief inspelen op veranderingen
Op het gebied van het denken over management control zien we een ontwikkeling van Traditional
Public Administration (TPA), naar - vanaf de jaren ’80 – New Public Management (NPM)15, naar
– vanaf 2010 - Public Value (PV)16.
Bij het Traditional Public Administration (TPA):
- worden de publieke belangen gedefinieerd door politici experts,
- zijn de prestatiedoelen gericht op het beheersen van de input,
- is het doel van de managers te reageren op politieke aanwijzingen en
- wordt verantwoording door hen afgelegd naar boven toe, via afdelingen naar politici en via
deze naar het parlement.
Bij het New Public Management (NPM):
- worden de publieke belangen afgeleid van de keuzes van klanten/afnemers,
- zijn de prestatiedoelen gericht op het beheersen van de input en output,
- is het doel van de managers het behalen van de afgesproken prestatiedoelstellingen en
- wordt verantwoording door hen afgelegd naar boven toe via prestatiecontracten.
Bij het Public Value (PV):
- zijn de publieke belangen de uitkomst van het maatschappelijk debat,
- zijn de prestatiedoelen gericht op meerdere doelen (service output, tevredenheid,
uitkomsten, bewaken van vertrouwen en legitimiteit),
- is het doel van de managers in te spelen op voorkeuren van burgers en gebruikers,
hernieuwen van mandaat en vertrouwen door het garanderen van hoogwaardige
dienstverlening en
- wordt verantwoording meervoudig door hen afgelegd aan burgers als beoordelaars van de
overheid en als gebruikers en aan de belastingbetalers als financiers.
Bij deze ontwikkeling kan gesproken worden over een botsing van rationaliteiten
(waardenstelsels): de botsing tussen oriëntatie op effectiviteit en efficiëntie verhogende procedures
(functionele rationaliteit) en oriëntatie op de inhoud van het werk (substantiële rationaliteit)17.
De huidige praktijk laat zich kenmerken door een sterke invloed van het prestatiecontract gerichte
denken (NPM) met tegelijk belangrijke elementen van zowel het traditionele denken (TPM) als het
denken vanuit de toegevoegde waarde voor de burger (PV)18. Een mooie illustratie van de
spanning in de praktijk tussen in control willen zijn en het belang van de klant (of burger) wordt
gegeven door Hans Kwakman19.
Kwakman definieert ‘control’ als ‘het beïnvloeden van gedrag van medewerkers door
leidinggevenden met behulp van (meet)instrumenten om vastgestelde doelen te realiseren en – als
het nodig is – tijdig bij te sturen’. De focus ligt hierbij op het standaardiseren van werkprocessen,
voldoen aan wet- en regelgeving en efficiëntere inzet van ICT, gericht op efficiënt organiseren,
15 Christopher Pollitt (1993) en Christopher Hood (1995)
16 Colin Talbot (2011)
17 Jan Hakvoort en Henk Klaassen: Botsende rationaliteiten (2016)
18 Tjerk Budding: Management paradigma’s binnen de publieke sector (2014)
19 Hans Kwakman: slow banking (2013)
20
effectief plannen en ordelijk uitvoeren. Met control zou je moeten kunnen bouwen aan
betrouwbaarheid en vertrouwen, met control zou je klantgerichtheid – het klantbelang centraal! –
moeten kunnen afdwingen.
Het probleem is in zijn ogen dan ook niet de belofte – de theorie – maar de praktijk. Kwakman
constateert als manager bij een bank dat hij steeds meer tijd kwijt is met vergaderen, met nieuwe
lijstjes afwerken, met rapporten over allerlei soorten risico’s en processen. ‘Hierdoor hielden we
juist steeds minder tijd over om te praten met medewerkers, laat staan met klanten. Als
leidinggevende kreeg ik het gevoel dat het belangrijker werd om te voldoen aan sturen op korte
termijn, procedures, richtlijnen en het zoveel mogelijk afleggen van verantwoording, dan te zorgen
voor het ontwikkelen van mensen en het bieden van toegevoegde waarde aan klanten’.
Waar gaat het mis? Control veronderstelt een kenbare en maakbare wereld. Door goed te kijken
kunnen we de wereld kennen en de uitkomsten van een interventie zelfs voorspellen: als je A doet,
krijg je B. Maar hoe pak je het opportunistische gedrag van mensen aan, hoe reduceer je
onzekerheid? Control-maatregelen zijn dan de oplossing om de medewerkers in het gareel te
houden en er voor te zorgen dat zij doen wat van hen wordt verwacht. Directie en management,
gesteund door de staf (controller), bepalen wat wanneer hoe moet worden gedaan en monitoren in
welke mate de SMART geformuleerde doelen worden behaald. Kortom, de medewerker voert uit en
wordt gecontroleerd. De modellen en instrumenten zijn vaak geformuleerd door accountants en
juristen. De meer mensgerichte onderdelen die in theorie zeker ook bij control horen, maar minder
meetbaar zijn, verdwijnen uit beeld – vertrouwen, leren, feedback, dialoog met medewerkers. Het
gevolg? Kramp, verstikking en onverschilligheid.
De wereld is echter maar zeer ten dele kenbaar, laat staan maakbaar. De wereld is allesbehalve
een stabiele omgeving. Er is meer onzekerheid en verandering dan ooit tevoren. Klanten willen
beter, sneller en eerlijker bediend worden, terwijl tegelijkertijd de dienstverlening steeds minder
mag kosten. Hoe reageren velen op een wereld die instabiel en deels onkenbaar is, op
toenemende onzekerheid en verandering? Door meer van hetzelfde: meer regels, procedures en
controles. En dat wordt nog aangejaagd door toezichthouders die in die veranderende wereld grip
proberen te houden door meer informatie te vragen. Organisaties moeten méér en vaker laten zien
wat ze precies doen en hoe ze in elke situatie hebben gehandeld’. Belangrijke begrippen zijn:
formeel, objectief en aantoonbaar. Hierdoor lijken organisaties door de toezichthouders gedwongen
om vooral ervoor te zorgen dat ze compliant zijn, dat ze kunnen laten zien dat ze ‘de dingen goed
doen’. Maar worden ook ‘de goede dingen gedaan’, wordt de klant hiermee ook echt geholpen?
Kwakman is helder en duidelijk: ‘Nee. De klant wil niet méér controles en procedures, de klant wil
de garantie dat er goed op zijn geld wordt gepast. De klant vraagt om betrouwbaarheid en wil
graag de garantie dat er integere mensen werken die zijn belang dienen’.
Kwakman ziet dat het hart uit organisaties is verdwenen. Het gaat bijna nooit over ‘mensen met al
hun idealen, inventiviteit en betrokkenheid om iets moois bij te dragen aan de organisatie of aan
de maatschappij. In plaats daarvan gaat het om fouten, risico’s, om wat niet goed gaat’. Kan het
anders, zijn er alternatieven?
Kwakman houdt een pleidooi voor ‘slow banking’. Daarbij ligt de nadruk op ‘in contact’ willen zijn
en minder op ‘in control’ willen zijn. ‘In contact’ draait om gezamenlijkheid en verbinding.
Verbinding met jezelf en verbinding met anderen, maar ook de verbinding met de
organisatiedoelen en -waarden’20.
Zoals Kwakman aangeeft is er niets mis met in control willen zijn als het maar niet eenzijdig met
de hard controls wordt ingevuld en als het in contact zijn (verbinding) met organisatiedoelen en –
waarden en de omgeving, of te wel de soft controls, maar niet wordt vergeten. Ook Goodijk (2015)
wijst op de wenselijkheid van een minder grote drang tot control(e) van bovenaf. In plaats
20 Samenvatting en duiding met dank aan Edgar Karssing: Uit de boekenkast van de bedrijfsethiek, 49 (2013)
21
daarvan: meer inhoudelijk debat, meer aandacht voor moreel kompas en aanspreekbaarheid en
meer inzet op verbindingen21.
Wouter Hart22 gaat in op deze noodzakelijke verbindingen en maakt daarbij onderscheid tussen de
leefwereld en de systeemwereld:
De leefwereld betreft het hier en nu, ‘gaat over feitelijk gedrag en alle inter- en intrapersoonlijke
dynamieken daarvan. In de leefwereld ontmoeten de uitvoerende professional en de klant elkaar’.
De systeemwereld bestaat uit allerlei soorten afspraken – beleid, procedures, instructies, targets –
hoe je in de leefwereld zou moeten werken.
Met dit onderscheid kunnen we nu de bepalende gedachte benoemen die aan de controle-obesitas -
term van Olaf Bik23 - ten grondslag ligt: in de leefwereld worden de goede dingen gedaan indien
deze wereld zich schikt naar de systeemwereld. De pijl, de denkrichting, loopt dus van de
systeemwereld naar de leefwereld. En dat leidt geleidelijk vanzelf tot controle-obesitas: ‘Als dit de
dominante manier van organiseren en interveniëren wordt, komt de interesse van het management
langzamerhand meer te liggen in het kloppend krijgen van de systeemwereld dan in het verbeteren
van de prestatie van de professional in de leefwereld’. Het systeem wordt de belangrijke
aandachtsrichter. ‘Ze richt als het ware het denken en handelen en zegt waar de aandacht wel en
niet op gericht moet worden. Een voorbeeld is een in te vullen format (of checklist). Als we een
format moeten invullen, hoeven we ons hoofd niet te breken over de vraag om welke onderwerpen
het gaat. Deze staan immers mooi opgesomd. We hoeven alleen maar de lege velden in te vullen.
Dit helpt in een organisatie enorm om niet iedere keer het wiel te hoeven uitvinden’. Probleem is
echter dat een format verleidt om het unieke van het hier en nu niet meer te zien. En dat het de
professional verleidt om de klant uit het oog te verliezen: goede dienstverlening ontstaat als de
professional met aandacht gericht is op de klant, door gedrag via de systeemwereld te sturen
verschuift de aandacht van de professional naar het systeem, naar het voldoen aan de eisen die
het systeem hem oplegt. De systeemwereld wordt een op zichzelf staand spel.
Hart is nadrukkelijk niet anti-systeemwereld. Net zoals Bik niet anti-controle is wanneer hij spreekt
over controle-obesitas. Ze problematiseren de onbedoelde en negatieve bijeffecten van teveel
nadruk op systeemwereld en controle. Hart gebruikt daarom de pijl als metafoor: werken we vanuit
de systeemwereld naar de leefwereld (fout!) of van de leefwereld naar de systeemwereld (goed!)?
In het laatste geval is de systeemwereld ondersteunend aan de leefwereld. ‘Een goede
systeemwereld faciliteert de performance in de leefwereld. Hij zorgt ervoor dat niet iedere keer
opnieuw het wiel hoeft te worden uitgevonden, dat de buitenwereld een min of meer consistent
beeld vanuit de organisatie krijgt en dat bijvoorbeeld klanten niet vier keer hun gegevens moeten
doorgeven als ze met vier verschillende mensen of afdelingen te maken hebben. De systeemwereld
kan helpen om werkzaamheden vooruit te plannen zodat mensen beschikbaar zijn als ze nodig zijn.
De systeemwereld helpt ook bij het volgen van de voortgang en bij het achteraf leren van
gemaakte fouten. Kortom, de systeemwereld moet er zijn en goed op orde zijn. Als afspraken niet
helder gemaakt worden, kost dat veel energie in de leefwereld. Als niet helder is wat er van wie
verwacht wordt, ontstaan er irritaties en gaan mensen de verkeerde dingen doen’.
Om de pijl de goede richting op te draaien heeft Hart nog een begrip nodig: de bedoeling. Dit is het
ankerpunt waaraan is op te hangen wat in de systeemwereld en leefwereld gebeurt. Het is het
kompas van de organisatie, de missie die betekenis en richting geeft aan de te maken keuzes. Hart
visualiseert bedoeling, leefwereld en systeemwereld met drie concentrische cirkels. In het midden,
het hart, staat de bedoeling. Daar omheen staat eerst de leefwereld en daarna de systeemwereld.
De pijl, de denkrichting, staat goed wanneer de pijl van binnen naar buiten loopt. Het is dus
verkeerd wanneer de pijl buiten begint. Compliance werkt echter van buiten naar binnen! Veel
inspanningen van compliance worden gevoed door de regelmakers en de toezichthouders (buiten!).
21 Rienk Goodijk. Van afvinken naar aanspreekbaarheid (2015)
22 Wouter Hart. Verdraaide organisaties. Terug naar de bedoeling (2012)
23 Olof Bik. Controle-obesitas: middel erger dan de kwaal (2010)
22
Compliance richt zich dan op het vertalen en internaliseren van de wet- en regelgeving en het
toezien op de naleving ervan. Regels met betrekking tot zorgplicht, Chinese Walls,
marktmanipulatie, witwassen, beloningsbeleid en privacy worden naar de systeemwereld vertaald
en in hapklare brokken naar de medewerkers gecommuniceerd. Hapklaar, maar stuk voor stuk,
dus gefragmenteerd en zonder samenhang. De medewerker merkt vooral steeds meer overlast,
ziet het hogere doel niet en raakt ontmoedigd in het echte werk. Om nog enige sense of urgency te
bereiken roept het management: het moet van de toezichthouder!
Hoe ziet de wereld eruit als compliance de pijl zou omdraaien en begint met de bedoeling?
Formuleer eerst de bedoeling. Waar staat de organisatie voor, wat beweegt de organisatie om te
doen wat hij doet? Werk dit vervolgens uit in leidende principes die aangeven op welke manier de
organisatie die bedoeling wil realiseren. Zorg dat bedoeling en leidende principes de werkvloer
bereiken, dat medewerkers echt snappen wat dit voor hen betekent zodat ze de bedoeling en
leidende principes als leidraad voor hun handelen kunnen nemen. Nodig de medewerkers
nadrukkelijk uit tot eigenaarschap, tot het omarmen en toe-eigenen van bedoeling en leidende
principes. Niet door het benadrukken van de sense of urgency, maar door het bepleiten van de
sense of purpose.
Compliance hoeft voor het omdraaien van de pijl ook niet vanaf de tekentafel te beginnen. De
meeste organisaties hebben al een missie en visie geformuleerd (de bedoeling) en hebben reeds
business principles of kernwaarden (leidende principes). De uitdaging is veeleer de pijl om te
draaien en niet de toezichthouder als uitgangspunt te nemen, maar de kracht van de organisatie.
Natuurlijk, we mogen de systeemwereld en de toezichthouder niet vergeten. Doe daarom tot slot
en ter aanvulling een compliancecheck. Oftewel, check of deze manier van werken voldoet aan de
wet- en regelgeving. Waarschijnlijk voldoet de organisatie voor minimaal 95% aan de wet- en
regelgeving. Mits het daadwerkelijk de bedoeling is om waarde voor de klant toe te voegen.
Misschien is er wel heel veel wet- en regelgeving en wordt het steeds meer, maar de
uitgangspunten van de wet- en regelgeving zijn niet wereldvreemd. Dat wordt duidelijk als je kijkt
naar de memorie van toelichting: de daar vermelde uitgangspunten staan echt niet haaks op de
bedoeling en leidende principes van een fatsoenlijke organisatie.
Zou de toezichthouder hiermee tevreden zijn? Waarschijnlijk niet van vandaag op morgen. Een
verstandige toezichthouder zal het eerst aanzien, enige ruimte geven en de resultaten voor zich
laten spreken. Ook de toezichthouder kan uiteindelijk niet tevreden zijn met controle-obesitas24.
In deze notitie wordt het management control systeem derhalve niet gezien als een doel op zich,
maar als een hulpmiddel. Het moet dus functioneel zijn. Doelstellingen staan voorop, afwijkingen
dienen mogelijk te zijn. De sturing van bovenaf dient verbonden te zijn met de werkelijkheid op de
werkvloer (want daar gebeurt het). Het is dus niet of/of maar en/en. Het gaat om de interactie,
waarbij gedeelde doelstellingen en waarden leidend dienen te zijn.
Onderdeel daarvan is het naleven van externe regelgeving en de eigen ondersteunende
regelgeving (interne regels en beleidsregels). Dit gebeurt door deze regels zoveel mogelijk via
specificaties en dan in het bijzonder de essentiële specificaties (de ‘minimal critical specifications’)
op te nemen in de interne processen, afspraken, procedures, administratieve organisatie/interne
beheersing (AO/IB). Maar deze vertaling is meer dan de specificaties alleen: het blijft gaan om het
realiseren van de doelstellingen van de organisatie met de gestelde wettelijke en bestuurlijke
kaders daarbij als randvoorwaarde (waaraan vervolgens zoveel mogelijk door middel van het
management control systeem invulling gegeven wordt).
24 Samenvatting en duiding met dank aan Edgar Karssing: Uit de boekenkast van de bedrijfsethiek, 49 (2013)
23
In principe dient een organisatie zich aan alle regels te houden, maar niet alle regels zijn even
belangrijk of betekenen hetzelfde risico. Artsen aan een operatietafel hebben te maken met een
groot aantal protocollen. Allen op zich even zinvol. Maar als een arts eerst alle protocollen moet
aflopen of zich permanent tijdens een operatie die voor ogen moet houden, is de patiënt –
gechargeerd - inmiddels overleden. Bij een audit naar de toepassing van het ene protocol komt
vaak naar voren dat een of meerdere elementen van een protocol niet (expliciet) nageleefd
worden. Door dan daar het accent op te leggen, zal een volgende keer dit verbeterd zijn, maar
tegelijkertijd zullen andere elementen van dit of een ander protocol dan weer minder aandacht
krijgen (etc.). In zo’n situatie zal (meer) regels en controle niet de oplossing bieden. Wel: (een
combinatie van) vergroting van de interne motivatie (handen wassen voor de operatie scheelt veel
infecties/sterfterisico), risicovolle elementen in ieder geval veel aandacht geven (achterblijven
medische instrumenten) en andere fouten technisch onmogelijk maken (elkaar uitsluitende
koppelingen zuurstof en lachgas). Dan heb je het over de professionaliteit van een organisatie die
gericht is op het openlijk verbeteren en waar fouten gezien wordt als iets dat helaas soms
voorkomt, maar waarvan het belangrijkste is dat daarvan iets geleerd wordt.
De vliegsector is bij uitstek een voorbeeld van een sector met een open cultuur op het gebied van
(onderzoeken van) situaties die fout gegaan of bijna-fout gegaan zijn. Juist van situaties die bijna-
fout gegaan zijn, kan je het meeste leren om situaties die wel echt fout gaan met grote
consequenties, te voorkomen.
In de gezondheidszorg is recentelijk veel aandacht voor een opener houding ten aanzien van
gemaakte fouten naar de buitenwereld toe en het melden van fouten aan de Inspectie
Gezondheidszorg (IGZ).
Bij het vorm geven van het management control systeem gaat het om het volgende: Hoe kan je de
uitvoering van de activiteiten van een organisatie - gericht op het invulling geven aan haar
doelstellingen – zo goed mogelijk organiseren, hoe kan je risico’s daarbij zo goed en tijdig
mogelijk signaleren en daarmee rekening houden, hoe kan je je medewerkers motiveren een
optimale bijdrage te leveren aan die activiteiten vanuit verbondenheid met de doelstellingen en
alertheid op risico’s. Niet alleen door te focussen op meer regels en controle, maar ook door het
stimuleren van betrokkenheid van de medewerkers in combinatie met slimme regels die de
organisatie maximaal ontzorgt en de basis vormen voor ruimte voor professionele medewerkers
(zie het 20/80 principe), bijvoorbeeld door het inbouwen van de ‘minimal critical specifications’ in
de bedrijfsvoering ondersteunende ICT systemen die er voor zorgen dat op dit punt door de
organisatie/medewerkers niet nagedacht hoeft te worden (‘de techniek’).
Bij het inbouwen van de ‘minimal critical specifications’ in de bedrijfsvoering ondersteunende ICT
systemen kan o.a. een parallel getrokken worden aan wat zich aan techniek in een auto ‘onder de
motorkap’ bevindt. Vroeger kon je als bezitter van een Eend (‘Deux Chevaux’) nog zelf aan je
auto sleutelen. Later werd dat toch steeds meer iets van de garage. Tegenwoordig ga je naar de
garage als een oranje of rood lichtje gaat branden. Die leest de motor met een computer uit en
vervangt de module waar de stoornis zit. Dit kan alleen omdat de specificaties van de motor
opgedeeld is in modules die zijn gestandaardiseerd en die met behulp van op elkaar afgestemde
software één geheel vormen (de motor). Dit heeft geleid tot een enorme snelle ontwikkeling in de
autobranche (beter, efficiënter en goedkoper). Op deze software moet je als ‘buitenstaander’
volledig kunnen vertrouwen (wat er gebeurt als dit niet kan, ondervindt nu Volkswagen).
Ook de bedrijfsvoering bij de overheid wordt steeds meer door IT systemen ondersteund, maar
hier sleutelen we liefst zelf nog aan onze eigen Eend. Standaardisatie van begrippen,
koppelvlakken tussen systemen, informatie-uitwisseling ‘system to system’ zijn voorlopig nog
vooral toekomstmuziek (zie bijvoorbeeld de huidige informatie-uitwisseling in het
gedecentraliseerde sociale domein).
Vaak wordt hierbij een beroep gedaan op de ‘eigen autonomie en beleidsvrijheid’. De vraag is of
deze autonomie en beleidsvrijheid zich echt hierin bevindt als uitgegaan wordt van
24
gestandaardiseerde modules en koppelvlakken. Ook dan is er keuze genoeg binnen de
verschillende gestandaardiseerde modules (verschillende bandenmaten en merken, maar wel
dezelfde bevestiging/koppeling met bouten aan de auto). Maar de belangrijkste mate van
beleidsvrijheid zit hem in welke (gestandaardiseerde) modules je inbouwt in de auto (1500 cc
motor of 3 liter motor) en wat je met de auto doet (stilstaan of rijden, vooruit of achteruit, rechts
of links, hard of zacht etc.).
Kortom formuleer de ‘minimal critical specifications’ op het punt van gestandaardiseerde modules
van IT systemen en zorg voor gestandaardiseerde koppelvlakken tussen de verschillende systemen
zodat deze ‘system to system’ met elkaar kunnen communiceren, waardoor jij als bestuurder
(organisatie/medewerker) maximaal ontzorgd bent op het punt van de ‘techniek’ en jij als
bestuurder je volledig kunt concentreren op het rijden (bestemming bereiken), zolang het systeem
geen signalen afgeeft dat je naar de garage moet gaan (moet opletten).
Bij dit ‘inbouwen onder de motorkap’ (ICT-techniek) kan je in het licht van het voorgaande gebruik
maken van de indeling in rood, blauw en groen die o.a. gebruikt wordt bij FEZ/Financien):
Rood (stringente regelgeving). In het systeem (auto) kan je niet verder. In geval van de
mogelijkheid van ontheffing door degene die daartoe bevoegd is, kan je alleen verder als daarvoor
de machtiging is ontvangen (deze ontheffing wordt wel gelogd en daarover zal verantwoording
afgelegd worden door degene die deze machtiging heeft gegeven).
Blauw (comply or explain). In het systeem wordt ingeval van een eventuele afwijking (not
comply) deze gelogd worden en in een overzicht worden opgenomen. Degene die deze afwijking
heeft ingevoerd, zal deze ook moeten toelichten (in het kader van de verantwoording).
Groen (toegestaan). Het systeem logt de handeling wel - net als de rode en de oranje handelingen
- maar alleen voor datamining, procesmining, continuous monitoring in algemene zin (management
informatie en/of verbetering processen) en/of open data.
Het management is verantwoordelijk voor het (functioneren van het) management control
systeem. Maar wie is het management? In een organisatie zal dat getrapt zijn op basis van het
aantal management lagen. Bij een departement op het hoogste niveau de bestuursraad (SG met
DG’s) en het Bedrijfsvoeringsberaad (SG met stafdirecteuren), daaronder de DG-staven (DG met
directeuren) en al derde laag de directiestaven (directeur met afdelingshoofden). Tezamen vormen
deze drie lagen ‘het management’, waarbij de DG een schakelfunctie heeft tussen bestuursstaf en
DG-staf en de directeur tussen DG-staf en directiestaf. Dit wat betreft formele
managementstructuur.
Daarnaast speelt de kwestie van verdeling van (interne/externe) verantwoordelijkheden. Waar is
een SG, de bestuursraad, het bedrijfsvoeringsberaad, de DG, de DG staf, de (staf/lijn)directeur, de
directiestaf, het afdelingshoofd verantwoordelijk voor? De formele structuur laat overlappingen en
collectieve verantwoordelijkheden zien. Dit biedt ruime mogelijkheden zowel bepaalde
verantwoordelijkheden naar je toe te trekken als er vanuit te gaan dat ‘de ander’ verantwoordelijk
is. Het is een aandachtspunt om hier onderling duidelijke afspraken over te maken: wie is binnen
de managementstructuur waarvoor primair verantwoordelijk, wie is eindverantwoordelijk en hoe
wordt hiertussen geschakeld.
Tenslotte – en even belangrijk – is de bevoegdhedenverdeling: je kan als manager binnen deze
managementstructuur ergens verantwoordelijk voor zijn, maar welke mogelijkheden heb je om
deze verantwoordelijkheid ook waar te kunnen maken. Concreet: welke bevoegdheden heb je om
afwegingen te maken en beslissingen te nemen. Wat als je geen enkele mogelijkheid tot het
nemen van (eigen) beslissingen hebt omdat je met handen gebonden bent b.v. aan regels zonder
beleidsruimte (‘zuurstof’) en/of een uitvoeringsorganisaties die feitelijk alle beslissingen al voor je
25
heeft genomen, terwijl jij daar nog wel steeds verantwoordelijk voor bent (omdat het ‘geld’ op
jouw begroting staat en het oordeel over de rechtmatigheid bij jou neerdaalt). Dan is het ook
logisch dat bij een onduidelijke verantwoordelijkheidsverdeling, iedereen naar een ander kijkt.
Op dit punt zie je hoe belangrijk het is om onderscheid te maken tussen:
- het gebied waar je inhoudelijk beleidsverantwoordelijk voor bent. Daar is het van belang
dat je de beschikking hebt over voldoende beleidsruimte en/of mogelijkheden van comply
or explain. Dus niet teveel gebonden zijn door ‘rode’ kaders/regels, maar de beschikking
hebben over voldoende ‘blauwe’ kaders/regels. Dit vraagt ook van de regelgevers
voldoende inlevingsvermogen in het doel van het management control systeem om te
voorkomen dat operationele activiteiten te zeer dicht geregeld worden met ‘rode’
kaders/regels.
- Het gebied waar je wel budgettair voor verantwoordelijk bent, maar waar de uitvoering
voor een belangrijk deel bij een (ICT ondersteunde) uitvoeringsorganisatie ligt, waar je op
het punt van de uitvoering geen invloed hebt. Dan is het van belang dat de ‘minimal critical
specifications’ in het ICT systeem zijn ingebouwd en dat jij als manager op dat punt
maximaal ontzorgd bent (verantwoordelijkheid van de uitvoeringsorganisatie). Wel blijf je
verantwoordelijkheid om bij oranje of rode lampjes ‘direct naar de garage te gaan’ en te
horen wat het probleem is en beslissingen te nemen als dat op het gebied van jouw
beleidsverantwoordelijkheid ligt.
In het kader van ‘zuurstof in het systeem’ (dus ook de ‘zuurstof in het management control
systeem’) is het van belang dat de manager, gegeven het ‘rode’ en ‘blauwe’ kader, voorkomt dat
deze kaders verder worden dichtgetimmerd met interne regels. Voorkomen dient te worden dat de
beleidsruimte (‘zuurstof’) die in de regelgeving wordt gegeven, in de doorvertaling naar het
management control systeem ‘verdampt’.
Dat dit een reële, veelvuldig voorkomende situatie is, blijkt bij doorlichtingen van interne regels.
Vaak wordt dan gezegd dat die interne regels ‘moeten’ vanwege de regelgeving (van Financiën).
Bij doorvragen/nader onderzoek blijkt dan vaak dat de verplichting berust op eigen (striktere)
regelgeving is die niet in de ‘externe’ regelgeving expliciet is voorgeschreven.
Dit betekent ter realisering van ‘zuurstof in het management control systeem’ de volgende
uitgangspunten:
Verplichte externe regelgeving (‘rode’ regels) inzake de bedrijfsvoering wordt in principe
één op één doorvertaald in de interne processen, afspraken en procedures (management
control systeem). Dit dienen de essentiële regels (‘minimal critical specifications’) te zijn
die ervoor zorgen dat de ‘basis op orde’ is. Alle verplichte regels/voorschriften inzake het
opstellen van de jaarrekening zijn ‘minimal critical specifications’. De jaarrekening dient op
orde te zijn (‘getrouw beeld geven’).
IT systemen zorgen zo veel mogelijk voor ‘technische’ ondersteuning (stringente vertaling
in de zin van verhinderen of logging van afwijkingen, zie de box ‘onder de motorkap’).
Inzet van datamining en procesmining software kan daarbij zeer behulpzaam zijn en
continuous monitoring (met behulp van dashboards en signalen) praktisch mogelijk maken.
Niet verplichte regelgeving (‘blauwe’ en ‘groene’ regels) inzake de bedrijfsvoering die
mogelijkheden tot ruimte (‘zuurstof’) biedt, wordt intern zo min mogelijk generiek
ingeperkt, maar laat voor organisatie-onderdelen (afdelingsmanagers voldoende ruimte
voor specifieke operationele doorvertaling. Deze ruimte (‘zuurstof’) krijgt derhalve in de
interne regelgeving, interne processen, afspraken en procedures een nadrukkelijke plaats.
Dit kan door ook bij de interne vertaling keuzemogelijkheden (comply or explain etc.)
26
nadrukkelijk op te nemen, ook in de IT systemen (meerdere mogelijkheden en volgen
verloop processen via procesmining).
Afwijkingen van dit uitgangspunt (beperking van de ruimte bij interne doorvertaling of
verantwoordelijkheid ergens anders gelegd) zijn gebaseerd op expliciete besluitvorming
van het verantwoordelijke management, waarbij aangeven wordt waarom intern voor een
stringentere doorvertaling is gekozen (en dus waarom de ‘zuurstof’ bewust wordt
verminderd).
Deze inperking van de ruimte vindt in het algemeen plaats door het invoeren van
(additionele) interne regels/instructies. Doelstelling is veelal daarmee interne
duidelijkheid/eenduidigheid bij de uitvoering te bevorderen. Daar is op zich niets mis mee.
Alleen dient voorkomen te worden dat de vermindering van de ‘zuurstof’/verschuiving
verantwoordelijkheid een onbewust, sluipend proces is dat zich buiten de expliciete
aandacht van het verantwoordelijk management voltrekt.
Additionele interne regels/instructies zouden bij voorkeur de bevoegdheid voor het hoger
management moeten bevatten om van deze interne stringentere eisen in voorkomende
gevallen af te kunnen wijken. Ook zou in het kader van ‘zuurstof in het systeem’ een
geregelde herijking/heroverweging van de beperking van de beleidsruimte, een goede zaak
zijn.
Een goed functionerend management control systeem zal in zijn totaliteit (stringente regels, regels
met ruimte, additionele interne regels, toelichtingen etc.) en ondersteund door ICT systemen,
intern voldoende mogelijkheden moeten bieden voor een professionele invulling van de
werkzaamheden door de organisatie en de medewerkers, gericht op het bereiken van de
(bedrijfsvoerings)doelstellingen van de organisatie (inclusief de naleving van regels).
Het functioneren van dit management control systeem zal moeten leiden tot vertrouwen van de
leiding in het functioneren van zowel de afzonderlijke medewerkers als de organisatie als geheel,
gebaseerd op (bewezen) professionaliteit. Het gaat erom de aandacht te verleggen van de
structuur van de organisatie, naar de mensen die binnen deze structuur de professionaliteit van de
organisatie vormgeven25.
Voor inzicht hierin kan gebruik gemaakt worden van de negen kritische succesfactoren voor
gerechtvaardigd vertrouwen26 van de leiding in het interne management control systeem (zie
bijlage 2). Leiderschap (‘tone of the top’) van het management zal hierbij een belangrijke rol
spelen.
In de Handreiking Control Framework van HEAD (de vereniging van financials in de zorg) wordt
aangegeven hoe dit kan worden vormgegeven in de zorgsectoruitgaande van:
- Goede zorg centraal,
- Gerechtvaardigd vertrouwen gebaseerd op kwaliteit,
- het systeem is ondersteunend, niet leidend.
In deze zeer prettig leesbare Handreiking worden de eisen aan het vakmanschap van de
zorgaanbieder, de zorginkoper en de toezichthouder alsmede de bouwstenen voor het control
framework zelf, verder uitgewerkt.
25 Sandra Groeneveld. Het belang van bureaucratie (2016)
26 Vertrouwen geven en in control zijn; gaat dat samen? Ministerie van Financiën (2009)
27
Elementen die uit het bovenstaande naar voren komen:
Het management control systeem heeft een belangrijke interne functie: zorg dragen voor
het realiseren van de (bedrijfsvoerings)doelstellingen en de naleving van de regels
daaromtrent. Het management control systeem is een middel, geen doel op zich. Het
management control systeem moet zorgen voor de verbinding tussen de doelstellingen van
de organisatie enerzijds en het gedrag (de werkelijkheid) op de werkvloer anderzijds.
De organisatie bepaalt de doorvertaling van externe regelgeving op het gebied van de
bedrijfsvoering in het management control systeem.
Een deel van de regelgeving (de ‘minimal critical specifications’) is voor de organisatie een
gegeven dat zo goed mogelijk in de organisatie (en het management control systeem)
ingebed moet worden. Dit is de basis die op orde moet zijn.
Vertaal de ‘minimal critical specification’ (de ‘rode regels’) in eisen voor de IT systemen die
de bedrijfsvoering ondersteunen, met gebruikmaking van gestandaardiseerde modules met
uniforme definities en gestandaardiseerde koppelvlakken tussen de verschillende IT
systemen.
Zorg dat handelingen in strijd met deze rode regels, in deze ondersteunende systemen niet
mogelijk zijn (of alleen met opheffing van deze blokkade op het vereiste hogere niveau).
Als de regelgeving (de wettelijke en rijksbrede bestuurlijke regelgeving) de organisatie de
mogelijkheid biedt van beleidsruimte ( de blauwe regels’), zorg dan voor een sturing en
monitoring gericht op het realiseren van de doelstellingen. Gebruik maken van de ruimte
die de ‘blauwe regels’ bieden, is mogelijk op basis van een goed (kwalitatief) verhaal.
Maak in het management control systeem vanuit de eigen verantwoordelijkheid handig
gebruik van handreikingen etc. (de ‘groene regels’). Daar is immers al goed over
nagedacht.
Voor de leiding van een organisatie is het belangrijk inzicht te hebben in hoeverre het kan
steunen op het functioneren van het interne management control systeem, inclusief een
goed gebruik van de beleidsruimte door de medewerkers.
- Gaan de zaken goed?
- Worden de doelstellingen gerealiseerd?
- Welke risico’s worden daarbij gelopen en kunnen die worden geaccepteerd?
Het gaat dan om een goede werking van zowel de ‘hard’ als de ‘soft’ controls. Dit inzicht
kan verkregen worden door de negen kritische succesfactoren voor intern gerechtvaardigd
vertrouwen in het management control systeem langs te lopen.
28
Ad 3. Zuurstof in de verantwoording: de verantwoording door het management over professionele
afwegingen in het kader van de interne (financiële) bedrijfsvoering.
Het uitgangspunt is dat het management zich transparant verantwoordt op basis van het
management control systeem. Het management control systeem heeft een belangrijke functie
zowel intern (zorg dragen voor het realiseren van de doelstellingen en de naleving van de externe
regels, zie hiervoor), als ook extern (het kunnen steunen door de externe
controleur/toezichthouder op dit management control systeem ten behoeve van - bij voorkeur -
een systeemgerichte controle/toezicht). De verbinding tussen de interne functie en de externe
functie verloopt via de verantwoording van het management aan de omgeving/stakeholders in het
jaarverslag (inclusief jaarrekening).
Daarbij is het belangrijk hoe het topmanagement deze verantwoording ziet: vanuit een principal
agent perspectief (wat zijn de regels omtrent verantwoording en hoe kan ik daar niet alleen
rationeel, maar ook opportunistisch vanuit eigen belang mee omgaan: laten zien gehaalde targets)
of meer vanuit een stewardship perspectief (hoe verantwoord ik mij over mijn maatschappelijke
doelstellingen vanuit een gemeenschappelijk belang: laten zien public value).
Principle agent versus stewardship
Principaal-agenttheorie
(jaren ‘80, agentschappen)
Stewardshiptheorie
(sinds 2009, vernieuwing rijksdienst)
Belangen
Belangenconflict
Belangencongruentie
Motivatie
Extrinsiek
Intrinsiek
Incentives
Financiële incentives
(gericht op naleven)
Reputationele incentives (gericht op
stimuleren)
Machtsafstand
Hoog
Laag
Machtsgebruik
Institutioneel
Persoonlijk
Managementstijl
Afstandelijk-extern
Self-management binnen kaders
29
Vosselman27 geeft aan dat management control en de verantwoording daarover sterk onder invloed
heeft gestaan van discours over de in de vorige paragraaf reeds genoemde New Public
Management (NPM) theorie met daarin veel aandacht voor de principal-agent theorie. Een
belangrijk uitgangspunt in de theorie van de principaal en de agent is dat een agent vooral uit is op
het realiseren van zijn eigenbelang (dat kan overigens ook het belang van de eigen afdeling zijn)
en dat hij daarbij niet te beroerd is zijn toevlucht te nemen tot min of meer stevige vormen van list
en bedrog in de verantwoording. Met andere woorden: de agent is niet alleen rationeel, maar ook
opportunistisch. Opportunistisch in de zin dat hij voortdurend probeert zijn eigen belang te dienen
en daarvoor niet schroomt om de verwachtingen of de werkelijkheid een tikkeltje (en soms meer
dan een tikkeltje) in de verantwoording bij te kleuren. Verantwoordingssystemen met cijfers in het
middelpunt kunnen de bazen van de manager (in de woorden van de economische
organisatietheorie de ‘principalen’) helpen om de agent te disciplineren en op het juiste pad te
houden. Die cijfers zorgen, zoals dat heet, voor transparantie; ex ante (dus voordat de agent
presteert) refereren zij aan taakstellingen en ex post (achteraf) aan realisaties. Zo ontstaat
inderdaad de calculeerbare manager, en in veel gevallen ook de calculeerbare ‘professional’.
Vosselman bespeurt een toenemende behoefte in de samenleving om de te wantrouwen ‘agent’ te
transformeren naar een te vertrouwen ‘steward’. Deze vernieuwing gaat volgens Vosselman via het
discours over Public Value (zie ook vorige paragraaf). ‘Public Value’ is een concept dat al in 1995
werd benoemd door Mark Moore van de Harvard University, maar dat pas in het eerste decennium
van de eenentwintigste eeuw goed tot leven is gekomen (Talbot, 2011). Het concept ‘Public Value’
plaatst management control in het verband van de waardering die de burger heeft voor het
optreden van de overheid en haar organisaties. En die waardering reikt verder dan alleen de
doeltreffendheid en doelmatigheid van producten of diensten; de burger is in dit verband veel meer
dan alleen een consument. Zij vraagt om condities die de betrokkenheid op de publieke organisatie
doen vergroten. Dus het gaat niet, zeker niet in hoofdzaak, om protheses die een ‘agent’ in toom
houden en het individu dus temmen, maar om condities die de missie van de organisatie dichterbij
brengen en die het individu dus beter in staat stellen om ‘steward’ te zijn.
Het wantrouwen verbonden met de belangentegenstelling tussen een principaal en een agent (en
daarmee ‘contractsturing’) moet veel meer naar de achtergrond worden gedrongen, terwijl
condities die een gelijkgerichtheid op publieke waarden en ambities bevorderen, op de voorgrond
moeten staan. De condities moeten dus een ondersteunende sfeer creëren en bevorderen. Zij
moeten innerlijke motivatie en betrokkenheid op een adequate wijze kunnen helpen omzetten in
doeltreffend, doelmatig en legitiem werk voor de publieke zaak. De condities moeten reflexiviteit
bevorderen. Overheidsdienaren moeten fouten kunnen maken en moeten de gelegenheid hebben
om van die fouten te leren. Het management van publieke organisaties moet het management zijn
van een lerende organisatie. Niet de afrekening, maar de continue verbetering moet voorop staan.
‘Vallen en opstaan’ moet worden gerespecteerd, ‘shaming and blaming’ moet worden verbannen en
sterk instrumentele verantwoordingsrelaties tussen een principaal en een agent moeten worden
omgebogen in de richting van relationele verantwoordingsrelaties. Het gaat om verantwoord
handelen in echte ontmoetingen.
Dat alles vereist naar het oordeel van Vosselman een stevige verandering van ‘mindset’, want het
instrumentele principaal-agent denken is diep doorgedrongen in onze systemen van ‘management
control’ en de verantwoording daarover. Relaties en netwerken moeten weer meer centaal staan in
plaats van het individu. Noodzakelijke voorwaarde voor dit alles is de erkenning dat de processen
in een publieke organisatie alleen bij hoge uitzondering van buitenaf planbaar en beheersbaar zijn.
Hoe hard we ook proberen, de publieke organisatie is lang niet altijd volledig ‘maakbaar’. De
samenleving, haar organisaties en delen daarvan zijn veel te complex om in het keurslijf te passen.
De verantwoording door het management moet daarop aansluiten.
27 Onderstaande tekst is voor een groot deel ontleend aan het artikel ‘Control in de moderne overheidsorganisatie: van opportunistische
agenten naar betrouwbare stewards’ (bewerking van de oratie uitgesproken op 8 december 2011 aan de VU).
30
In de praktijk zal er zelden een zuivere ‘principal-agent verantwoording’ voorkomen (gebaseerd op
naleven regels/eigen belang) en evenmin een zuivere ‘stewardship verantwoording’ (gebaseerd op
bijdrage aan maatschappelijke doelstellingen/public value). Het zal idealiter gaan om de juiste
combinatie van elementen van de principal agenttheorie voor wat betreft de basis (de minimal
critical specifications) en elementen van de stewardshiptheorie (eigen verantwoordelijkheid binnen
kaders voor wat betreft de bijdrage aan de maatschappelijke doelstellingen).
Zie in dit verband ook het advies ‘Lastenluwer toezicht en handhaving voor ondernemers’ van Actal
van 11 juni 2015: naleving van regels moet gewoon op orde zijn als basis voor verbeteren en leren
en een goede omgang met elkaar.
De informatie op basis van het management control systeem zal - met behulp van de aanwezige
ondersteunende IT systemen - de organisatie de mogelijkheden moeten bieden om zich
transparant te verantwoorden over zowel de naleving van de externe en interne regels als het
realiseren van de doelstellingen.
Maar hoe kan een organisatie in de verantwoording laten zien dat het in voldoende mate ‘in
control’ en ‘in contact’ is en daarbij onderscheid maken tussen ‘in control’ zijn op het punt van de
‘rode’ regels (naleving van de verplichtende regels) en van de ‘blauwe’ regels (invulling geven aan
de eigen beleidsruimte)?
Daartoe zou de verantwoording kunnen bevatten:
De verantwoording door het management over de doorvertaling van de verplichtende
externe en interne regels (minimal critical specifications) en het zorg dragen voor de
naleving van deze regels in het management control systeem.
Op dit punt kan de organisatie op hoofdlijnen in de verantwoording aangeven of de
organisatie de ‘basis’ (inclusief de jaarrekening) ‘op orde’ heeft.
Deze verplichtende regels moeten in principe ‘altijd’ nageleefd worden. Maar de rode draad
in deze achtergrondverkenning is dat er altijd bijzondere situaties kunnen zijn waarin dit
niet mogelijk of verstandig is. Dan is het van belang dat het management control systeem
die situaties in ieder geval zichtbaar maakt (‘detecteert’) en het management zich daarover
verantwoordt en de consequenties (onrechtmatig handelen, oordeel Tweede Kamer)
daarvan aanvaardt:
- Over ‘onbewuste28’ niet naleving van verplichtende regels zal de organisatie in de
verantwoording (achteraf) open moeten zijn, ook over de ernst en gevolgen van
deze niet-naleving. Tevens zal de organisatie in een analyse moeten aangeven hoe
dit heeft kunnen gebeuren (de organisatie lijkt niet ‘in control’ te zijn) en vooral
laten zien hoe daarvan geleerd wordt (voorkomen in de toekomst).
- In geval van ‘bewuste’ niet-naleving zal de organisatie - indien mogelijk - de ‘fout’
vooraf dienen te melden of daarvoor goedkeuring te vragen aan de
regelgever/Tweede Kamer. Het zal hierbij alleen kunnen gaan om bijzondere
situaties/noodsituaties. De organisatie lijkt weliswaar ‘in control’, maar zal in ieder
geval achteraf verantwoording moeten afleggen over de gemaakte
keuzes/afwegingen (zoals doelmatigheidswinst, accepteren van risico’s etc.) en
voor de ernst en de gevolgen van de niet-naleving - ook politiek -
verantwoordelijkheid moeten nemen.
28 Bij ‘onbewuste’ niet-naleving is er geen sprake van een weloverwogen beslissing en/of risicoacceptatie door het bevoegde
management van de organisatie; bij een ‘bewuste’ niet-naleving is daar van wel sprake.
31
De verantwoording van het management over de professionele benutting van de in de
externe regelgeving aanwezige ruimte (zuurstof) en de naleving van additionele interne
regelgeving in het management control systeem van de organisatie.
Op dit punt kan de organisatie op hoofdlijnen verantwoording afleggen over het gevoerde
beleid (in algemene zin) en het realiseren van de doelstellingen op het punt van
bedrijfsvoering en het gebruik daarbij van de ruimte in de externe regelgeving (comply or
explain) en de naleving van additionele interne regelgeving.
Ook hier staat naleving van de externe regelgeving (comply or explain) en additionele
interne regelgeving voorop. Ook hier is het van belang dat het management control
systeem situaties van afwijkingen zichtbaar maakt (‘detecteert’) en het management zich
daarover verantwoordt. Het niveau van verantwoording zal hierbij echter niet zijn de
individuele regel waarvan afgeweken is, maar veel meer het geheel van externe
regelgeving (comply or explain) en additionele interne regels: is de organisatie in totaliteit
op het punt van naleving van deze regels, voldoende ‘in control’ en ‘in contact’, gegeven
de doelstellingen van de organisatie.
In geval van ‘comply or explain’ zal op hoofdlijnen aangegeven dienen de worden de
situaties waarin gebruik is gemaakt van ‘explain’ (afwijking) met daarbij de toelichting.
- In geval van ‘onbewuste’ niet-naleving van een eigen, stringentere doorvertaling
van de ruimte (zuurstof) in de interne verplichtende (‘rode’) regelgeving, zal de
organisatie daarvan op hoofdlijnen melding maken onder het gelijktijdig aangeven
van de consequentie die zij daaraan voor zichzelf verbindt: handhaven van de
stringentere interne regelgeving onder vermelding hoe in het vervolg voor betere
interne naleving gezorgd kan worden óf aanpassen van de interne regelgeving
indien betere naleving niet haalbaar of wenselijk.
- In geval van ‘bewuste’ niet naleving van een eigen, stingentere doorvertaling van
de ruimte in de interne verplichtende (‘rode’) regelgeving, ligt in principe
aanpassing van de (te) stringente interne doorvertaling voor de toekomst voor de
hand, tenzij aangegeven wordt dat de bewuste inbreuk een (eenmalige)
uitzondering was (‘nood breekt wet’).
In al deze gevallen gaat het uiteraard primair om de interne signalering van de afwijking/niet
naleving, maar daarnaast toch vooral ook om het verhaal daarachter en de verantwoording op
hoofdlijnen daarover. Deze twee elementen samen (de signalering en het verhaal) moet de
omgeving een betrouwbaar gevoel geven ten aanzien van de organisatie (gerechtvaardigd
vertrouwen).
Elementen die uit het bovenstaande naar voren komen:
Doe open, transparant verantwoording op hoofdlijnen over het realiseren van de
organisatiedoelstellingen inclusief signalering van (bewuste/onbewuste) niet-
naleving/afwijkingen van regels en het verhaal erachter.
Het gaat erom een beeld te geven van het ‘in control (en in contact) zijn’ van de
organisatie, inclusief eventueel noodzakelijke maatregelen om dat te bereiken. Dit moet
bijdragen aan een gerechtvaardigd vertrouwen in de organisatie bij de omgeving.
32
Ad 4. Zuurstof in de controle: de controleur beoordeelt de verantwoording van het management
door middel van een systeemgerichte controle van het management control systeem
In het kader van deze gespreksnotitie is het van belang het vraagstuk van de controle te bezien
vanuit het onderscheid tussen verplichtende regelgeving (‘minimal critical specifications’) en
beleidsruimte (‘zuurstof’).
De allereerste vraag hierbij zal zijn: wat moet gecontroleerd worden en/of beoordeeld worden door
de controleur. De tweede vraag is vervolgens: en zo ja op welke wijze.
Net zoals de vraag gesteld kan worden of alles wat je aan gedrag wilt beïnvloeden wel via
regelgeving moet worden bereikt, kan je ook de vraag stellen of alles wat een organisatie doet en
waarover het zich verantwoordt, wel moet worden gecontroleerd en zo ja, door een accountant.
In de handreiking Doreac (Doorlichting Regelingen op Accountancy-aspecten) uit 2002 in het kader
van de projecten Marktwerking, Deregulering en Wetgevingskwaliteit (MDW) wordt opgemerkt dat
het geen automatisme moet zijn om rechtmatigheid altijd af te dekken met een controleverklaring
van een accountant. Ook andere toezichtsinstrumenten worden genoemd als inspecties ter plaatse,
peer reviews, deskundigenverklaringen, intervisie of sociale media.
Op dezelfde lijn zit de recentere Schrijfwijzer accountantsprotocollen van het NBA uit 2014: betrek
in de ontwerpfase van wet- en regelgeving ten aanzien van de vraag wel/niet inschakelen van een
accountant, de volgende vier aandachtspunten:
- Wijze van verantwoorden
- Risico versus zekerheid
- Afweging van baten en lasten
- Uitvoerbaarheid.
Dit betekent dat wat wel en niet gecontroleerd wordt een afweging is, waarbij - naast het karakter
van de regelgeving zelf – risico-inschatting en doelmatigheid nadrukkelijk betrokken dienen te
worden.
Daarnaast is ten aanzien van de vraag hoe te controleren een duidelijke verschuiving zichtbaar van
beoordeling van naleving van regels (sec) naar steeds meer beoordeling tevens van de kwaliteit
van de organisatie (‘in control en in contact zijn’). Alleen naar naleving van de regels kijken kan
een schijnzekerheid opleveren als niet tegelijk gekeken wordt naar de cultuur en het
normbesef/waardeoriëntatie van een organisatie.
De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten(AFM) kijken in het kader van
hun toezicht ook steeds meer naar cultuur en gedragsaspecten. Zie hiervoor de 7 elementen van
een integere cultuur (DNB) en de Agenda 2014-2018 (AFM).
Een accountant toetst bij een controleverklaring het onderzoeksobject (b.v. de jaarrekening) aan
een (set van) norm(en). Bij de toetsing aan de norm kan sprake zijn van ‘goed, fout, of onzeker’29.
Op basis van deze driedeling kan de accountant vervolgens - gegeven afspraken over de gewenste
zekerheid (betrouwbaarheid 95%) en materialiteit (kwantitatieve tolerantiegrenzen <1%, >1% en
<3%, >3% en >10%) en op basis van zijn werkzaamheden - een controleverklaring afgeven:
goedkeurend, met beperking, oordeelsonthouding of afkeurend30. Het karakter van een
controleverklaring is derhalve primair kwantitatief en gericht op goed, fout of onzeker op basis van
het door de accountant gehanteerde normenkader.
29 In het buitenland wordt ‘onzeker’ veelal niet als aparte categorie, maar als onderdeel van ‘fout’ gezien
30 NBA, Schrijfwijzer accountantsprotocollen (2014)
33
Veel discussies gaan in de praktijk over het normenkader dat de accountant/externe controleur
(ADR/AR) bij zijn controle hanteert. Dit zou in principe simpel moeten zijn door deze normen direct
af te leiden uit de regelgeving in termen van ‘goed, fout, onzeker’, maar de ‘normen’ in de wet zijn
vaak niet eenduidig genoeg om in te delen in ‘goed, fout of onzeker’, zeker niet als beleidsruimte
(zuurstof) in de regelgeving is opgenomen, b.v. bij open begrippen, zoals ‘goed beheer’, ‘voldoende
aandacht’ etc. Wat is dan ‘goed’ of ‘voldoende’.
Dan betekent het onder de reikwijdte van de controleverklaring brengen van regelgeving die dit
soort beleidsruimte bevat, dat de accountant/externe controleur (ADR/AR) deze beleidsruimte zal
(moeten) vertalen in normen die in te delen zijn in ‘goed, fout of onzeker’. Dan zal de facto de
beoogde beleidsruimte door het normenkader van de accountant/externe controleur (ADR/AR)
worden bepaald en niet (meer) door de afwegingen van de organisatie/management.
Wat betekent dit? Zoals DOREAC en de Schrijfwijzer accountantsprotocollen ook aangeven: bezint,
eer ge begint! Een controleverklaring is één van de mogelijke accountantsprodukten (naast
beoordelingsverklaring en/of rapport van onderzoeksbevindingen).
In de NV COS (beroepsregels voor accountants) wordt in NV COS 250 de werkzaamheden van
de accountant in het kader van de naleving van wet- en regelgeving gerelateerd aan de controle
van de financiële overzichten.
In het kader van het verwerven van inzicht in de entiteit en haar omgeving dient de accountant
een algemeen inzicht te verwerven in het wet- en regelgevingskader dat van toepassing is op de
organisatie en de manier waarop de organisatie dat kader naleeft. Hierbij wordt onderscheid
gemaakt in de verantwoordelijkheden van de accountant met betrekking tot het naleven van twee
verschillende categorieën van wet- en regelgeving:
A. de bepalingen van die wet- en regelgeving die in het algemeen geacht worden van directe
invloed te zijn op de vaststelling van bedragen en in de financiële overzichten opgenomen
toelichtingen die van materieel belang zijn, zoals wet- en regelgeving op het gebied van
belastingen en pensioenen.
De accountant dient voldoende en geschikte controle-informatie te verkrijgen omtrent het naleven
van de bepalingen van die wet- en regelgeving die gewoonlijk wordt geacht van directe invloed te
zijn op de vaststelling van bedragen en in de financiële overzichten opgenomen toelichtingen die
van materieel belang zijn.
B. overige wet- en regelgeving die geen directe invloed heeft op de vaststelling van de bedragen
en toelichtingen in de financiële overzichten, maar waarvan het naleven van fundamenteel belang
kan zijn voor de operationele aspecten van het bedrijf, voor de mogelijkheid om haar activiteiten
voort te zetten, dan wel voor het voorkomen van sancties van materieel belang (bijvoorbeeld het
naleven van de voorwaarden van een vergunning voor het uitvoeren van een activiteit, het naleven
van door een regelgevende of toezichthoudende instantie gestelde solvabiliteitseisen, of het
naleven van regelgeving betreffende het milieu); niet-naleving van dergelijke wet- en regelgeving
kan daarom van materieel belang zijnde invloed hebben op de financiële overzichten.
Ter bevordering van het identificeren van gevallen van niet-naleving van overige wet- en
regelgeving die een invloed van materieel belang kan hebben op de financiële overzichten, dient de
accountant de volgende controlewerkzaamheden uit te voeren:
- het management vragen of de organisatie dergelijke wet- en regelgeving naleeft; en
- de eventuele correspondentie met de desbetreffende vergunningverlenende of regelgevende of
toezichthoudende instanties inspecteren.
34
- de accountant dient gedurende de controle alert te blijven op de mogelijkheid dat andere
controlewerkzaamheden die worden uitgevoerd, de niet-naleving of vermoedens van niet-naleving
van wet- en regelgeving onder de aandacht van de accountant kunnen brengen.
- de accountant dient het management te verzoeken om schriftelijke bevestigingen te verstrekken
dat alle bekende gevallen van niet-naleving of vermoede niet-naleving van wet- en regelgeving
waarmee bij het opstellen van de financiële overzichten rekening moet worden gehouden, de
accountant ter kennis zijn gebracht.
Indien er geen sprake is van geïdentificeerde of vermoede niet-naleving van wet- en
regelgeving wordt niet van de accountant vereist (uit hoofde van NV COS 250) dat hij
andere controlewerkzaamheden uitvoert met betrekking tot het naleven van wet- en
regelgeving door de organisatie, dan de hiervoor aangegeven werkzaamheden.
De controle op naleving van regelgeving - buiten de bovengenoemde verplichte relatief beperkte
controle in het kader van de jaarrekening (financiële overzichten) - kan het management in het
bedrijfsleven ook op andere wijze en/of door anderen laten uitvoeren dan door een opdracht aan
de accountant. Veelal zal gesteund worden op de interne controle en de werkzaamheden van de
interne auditdienst. Ook kan het management besluiten dat geen (extra) controle nodig is.
De wetgever heeft daarentegen voor de (rijks)overheid gekozen voor een stringente controle van
het ruime begrip ‘rechtmatigheid’ (in plaats van het beperktere ‘naleving van regels’). Deze
controle vindt verplicht plaats door de accountant/externe controleur (op basis van kwantitatieve
tolerantiegrenzen), zonder het object (omvang) van deze controle bij het Rijk scherp in te kaderen
en/of af te bakenen.
Dit roept de vraag op hoe bij het Rijk dit ruime begrip ‘rechtmatigheid’ en de stringente controle
daarop - vanuit de optiek ‘zuurstof in het systeem’ – ingekaderd/afgebakend kan worden:
a. Verplichtende (‘rode’) regelgeving (minimal critical specifications)
De controleverklaring op rechtmatigheid heeft toegevoegde waarde als de norm voor de
accountant eenduidig en rechtstreeks uit de regelgeving afgeleid kan worden. Dit zal in principe het
geval zijn bij verplichtende (‘rode’) regelgeving (minimal critical specifications), zoals b.v. de
verplichtende regelgeving in het kader van de jaarrekening. In het geval van een
controleverklaring zal duidelijk moeten zijn wat het onderzoeksobject is en welke (verplichtende)
bepalingen daarbij betrokken moeten worden. Dat helder maken is de functie van een
accountantsprotocol.
Zo functioneert het accountantsprotocol bij voorbeeld in het onderwijsveld. Daar wordt precies
aangegeven welke regelgeving op welke wijze door de accountant in het kader van de
controleverklaring moet worden betrokken. Het is vanuit die optiek opvallend dat er niet zo’n
accountantsprotocol geldt voor de accountantscontrole bij de Rijksoverheid zelf.
Als voor de Rijksoverheid voor de controleverklaring de verplichtende regelgeving (minimal critical
specifications) op het punt van de financiële bedrijfsvoering (inclusief opstellen jaarrekening) als
uitgangspunt wordt genomen, kan de accountant/externe controleur (ADR/AR) de vertaling van
deze verplichtende regelgeving (minimal critical specifications) in het management control
systeem en de verantwoording daarover door het management, als uitgangspunt voor de controle-
activiteiten nemen. In een accountantsprotocol kan dan de lijst met deze verplichtende regelgeving
worden opgenomen. De controleverklaring omvat dan vanzelf ook de naleving van verplichtende
regelgeving op het punt van handelingen die financiële consequenties hebben (de zogeheten
‘comptabele rechtmatigheid’).
35
Hoe beter deze verplichtende regelgeving (minimal critical specifications) in de ICT systemen zijn
opgenomen, hoe meer de accountant/externe controleur (ADR/AR) bij de controle gebruik kan
maken van ‘slimme’ controle met behulp van datamining en procesmining (resulterend in
continuous auditing).
Bij de controle ten behoeve van de controleverklaring zal de accountant zich moeten houden aan
de beroepsregels voor de controleverklaring zoals deze zijn geformuleerd in de NV COS (en voor de
rijksoverheid doorvertaald in het HARO31). Een belangrijk aspect daarbij is in hoeverre de
accountant daarbij kan steunen op het management control systeem van de organisatie op het
punt van het naleven van de verplichtende regels (de minimal critical specifications) en de
verantwoording daarover door het management, met name als dat om de een of andere reden niet
gelukt is:
- bij ‘onbewuste’ niet naleving: ernst en gevolgen alsmede analyse hoe dit heeft kunnen
gebeuren en laten zien hoe daarvan geleerd wordt.
- bij ‘bewuste’ niet-naleving van verplichtende regels: in principe vooraf melding of aanvraag
goedkeuring, maar in ieder geval verantwoording achteraf over de gemaakte
keuzes/afwegingen (zoals doelmatigheidswinst, accepteren van risico’s etc.) in relatie tot
de ernst en de gevolgen van de niet-naleving. Dit zal alleen aan de orde kunnen zijn in
(zeer) bijzondere situaties.
De accountant/externe controleur (ADR/AR) zal een beoordeling van het management control
systeem moeten uitvoeren, omdat de accountant/externe controleur – in geval van een
systeemgerichte controle – moet weten of hij kan steunen op het management control systeem - in
algemene zin en/of op belangrijke onderdelen. Dit heeft namelijk invloed op de omvang van de
controlewerkzaamheden (het aantal steekproeven dat hij moet uitvoeren in het kader van de
controle). Als de accountant niet op het management control systeem (inclusief interne controle)
kan steunen, zal hij de controle volledig steekproefsgewijs moeten uitvoeren. Als hij er wel op kan
steunen zal hij systeemgericht kunnen controleren met een reductie van het aantal steekproeven
tot gevolg.
Bij de professionele beoordeling van de (niet-)naleving van de ‘minimal critical specifications’
(verplichtende regels) zal de controleur primair uit moeten gaan van de geldende kwantitatieve
tolerantiegrenzen. Deze zullen niet overschreden mogen worden. Indien wel, dan zal dit
gerapporteerd dienen te worden en consequenties hebben voor het oordeel van de controleur.
Daarbij zal door de controleur ook een aanvullende kwalitatieve beoordeling gemaakt worden op
basis van de omstandigheden en de eventueel gemaakte bestuurlijke afwegingen.
b. Beoordeling overige financiële bedrijfsvoering (regelgeving met ‘blauwe’ beleidsruimte)
De accountant/externe controleur heeft bij de rijksoverheid ook een zelfstandige taak om de
financiële bedrijfsvoering (inclusief financieel en materieel beheer) te beoordelen. Deze beoordeling
van de (overige) financiële bedrijfsvoering zal gericht zijn op speerpunten, waarbij de baseline
financieel en materieel beheer (2003) als handreiking gebruikt kan worden.
De verplichtende (‘rode’) regelgeving (minimal critical specifications), zoals b.v. de verplichtende
regelgeving in het kader van de jaarrekening is door de accountant al meegenomen in zijn
werkzaamheden ten behoeve van de controleverklaring en de beoordeling of gesteund kan worden
op het management control systeem ten behoeve van een systeemgerichte controle.
Dit betekent dat deze beoordeling zich zal richten op de overige (‘blauwe’) regelgeving op het punt
van de financiële bedrijfsvoering. Bij deze beoordeling kan de accountant/externe controleur de
beoordeling van het management control systeem in het kader van de werkzaamheden voor de
controleverklaring als vertrekpunt nemen. De volgende stap is dat de accountant/externe
31 Handboek Auditing Rijksoverheid (HARo)
36
controleur tevens vaststelt dat hij ook wat betreft de overige financiële bedrijfsvoering kan steunen
op het management control systeem. Dat betekent dat hij voor zijn beoordeling van de overige
financiële bedrijfsvoering zich mede kan baseren op de verantwoording van het management over
de professionele benutting van de in de externe regelgeving aanwezige ruimte (zuurstof) en de
additionele interne regelgeving in het management control systeem van de organisatie ten behoeve
van het realiseren van de bedrijfsvoeringsdoelstellingen. In deze verantwoording van het
management is immers opgenomen:
- bij ‘onbewuste’ niet-naleving: melding van de consequentie (betere interne monitoring of
aanpassing interne regelgeving).
- bij ‘bewuste’ niet naleving: melding van de consequentie (aanpassing kennelijk te
stringente interne regelgeving, tenzij uitzondering).
De beoordeling van de (overige) financiële bedrijfsvoering met daarin ook beleidsruimte (zuurstof),
vergt van de beoordelaar dat hij ook kan omgaan met open normen en interpretatieruimte
(‘blauwe’ regels), of te wel de kwaliteit van professionele afwegingen, die vallen buiten het kader
goed-fout, zonder dat hij daarbij op de stoel van de organisatie gaat zitten.
Het pleidooi van Wirtz en Karssing32 voor het ontwikkelen van ‘moresprudentie’ kan hierbij voor
een kader zorgen: ‘het ontwikkelen van moresprudentie betreft een proces waarbij op
systematische wijze kennis en inzicht wordt verzameld over de wijze waarop met alle morele
aspecten van het werk van bijvoorbeeld de controleur wordt omgegaan. Die kennis en inzichten
zijn een belangrijk referentiepunt voor toekomstige situaties. Tegelijkertijd worden deze nieuwe
situaties op zichzelf weer onderdeel van de moresprudentie. Door het ontwikkelen van
moresprudentie voorziet de controleur zich enerzijds van voldoende speelruimte om recht te doen
aan de grote variatie en situaties die het werkveld eigen is, maar voorkomt hij dat hij bij de morele
improvisatie moet terugvallen op zijn eigen beroepsopvattingen en waarborgt hij de transparantie
en controleerbaarheid van zijn werk’33.
Het betekent ook dat een accountant/externe controleur, maar ook de organisatie/omgeving een
zekere mate van geobjectiveerde subjectiviteit moeten durven te aanvaarden. Geen geval is
(volledig) gelijk. Het vergt durf om ongelijke gevallen, ook ongelijk te behandelen. Het gaat daarbij
om de verbinding tussen knowing the business en gevoel voor de organisatie enerzijds en de eigen
verantwoordelijkheid van de accountant/externe controleur bij zijn beoordeling anderzijds.
Wantrouwen moet vervangen worden door begrijpen. Vertrouwen en controle moeten samen
zorgen voor gerechtvaardigd vertrouwen.
Appreciative auditing (ontwikkeld door Anthoon Haagsma, 2008) is een combinatie van
appreciative inquiry (Cooperrider en Whitney, 2003) en auditing, waarbij er met name aandacht is
voor wat er goed gaat in een organisatie en waarom. Uitgangspunt is de kracht van de organisatie.
Kenmerken van appreciative auditing zijn:
- kijken naar successen,
- kijken naar kansen,
- interviews, afstemming en overige gesprekken in de vorm van een dialoog,
- stellen van positief geformuleerde vragen tijdens interviews,
- creëren van positieve sfeer tijdens de gehele audit.
32 R. Wirtz en E. Karssing: ‘Moresprudentie 10 jaar later’ in Audit Magazine nr 1. 2015
33 P. van Dijk en Rob Velders (2015) vragen ook aandacht voor de problematiek hoe toezichthouders moeten omgaan met open
normen.
37
Daarvoor is wel nodig dat de (slimme) interne controle binnen het management control systeem
(via datamining en procesmining) de ‘rotte appels’ die voor teveel incidenten zorgen, tijdig uit het
‘systeem’ haalt.
Hiervoor moet binnen het management control systeem voor de financiële bedrijfsvoering wel
aandacht - ook in de vorm van menskracht - zijn: bij de recente fraude van 19,5 mln. bij
Belastingdienst (september 2015) waren meerdere ‘red flags’ naar boven gekomen, maar daarop
was intern te laat actie ondernomen. De regels en het signaleringssysteem werkten dus op zich
goed, alleen de ‘menselijke’ component (aandacht: direct nalopen van de red flags) functioneerde
in dit geval niet goed en daarmee het management control systeem uiteindelijk ook niet.
Deze beoordeling van de overige financiële bedrijfsvoering (financieel en materieel beheer) zal
leiden tot een beoordelingsverklaring en een rapport van onderzoeksbevindingen, waarin eventuele
tekortkomingen in het financieel en materieel beheer kunnen worden opgenomen.
c. Beoordeling niet-financiële bedrijfsvoering (handelingen die geen financiële consequenties
hebben)
De algemene beoordeling van de niet-financiële informatie en handelingen die geen financiële
consequenties (prestatie-informatie) kan vanuit de taakopdracht onderdeel uitmaken van de
werkzaamheden van de externe controleur/AR. Deze beoordeling zal zich richten op de
totstandkoming van de prestatie-informatie. De facto ligt deze beoordeling dan voor een groot deel
in het verlengde van de beoordeling door de accountant/externe controleur of hij in algemene zin
ook voor de niet-financiële informatie en handelingen die geen financiële consequenties hebben,
kan steunen op het management control systeem van de organisatie zelf.
Een gerichte, specifieke beoordeling van de prestatie-informatie kan op verzoek van de organisatie
door de accountant/ADR uitgevoerd worden (beoordelingsverklaring en/of een rapport van
onderzoeksbevindingen) of in het kader van het doelmatigheidsonderzoek van de AR. Maar zo’n
gerichte, specifieke beoordeling kan evenzeer uitgevoerd worden door anderen dan de accountant
in de vorm van ‘peer reviews’, intervisie, inspecties ter plaatse, deskundigenverklaringen, sociale
media etc.
d. Overall-beoordeling management control systeem
Uit het bovenstaande komt naar voren dat (de werking van) het management control systeem voor
de financiële bedrijfsvoering belangrijk is voor de accountant/externe controleur zowel voor zijn
werkzaamheden ten behoeve van de controleverklaring (a) als voor zijn beoordeling van de overige
financiële bedrijfsvoering (b) als ook voor een eventuele beoordeling van de niet-financiële
bedrijfsvoering (c). In al deze gevallen zal de accountant/externe controleur op onderdelen de
‘volwassenheid’ van het management control systeem (hard en soft controls) moeten beoordelen.
De accountant/externe controleur kan ook komen tot een overall beoordeling van het management
control systeem, inclusief de verantwoording daarover. Deze overall beoordeling is op dit moment
echter niet verplicht (facultatief).
Bij deze beoordeling kan de accountant/externe controleur onderscheid maken van tussen vier
niveau’s van volwassenheid (zie voor verdere uitwerking: bijlage 3). Voor de indeling in deze vier
niveau’s kan de accountant/externe controleur gebruik maken van de negen kritische
succesfactoren voor gerechtvaardigd vertrouwen in het management control systeem (zie bijlage
4):
38
- Op het eerste niveau bevinden zich organisaties die nauwelijks een management control
systeem van betekenis hebben. Organisaties op het eerste niveau hoeven op zich geen
slechte nalevers te zijn. Het betekent wel dat de kwaliteit van (verantwoordings)informatie
- bijvoorbeeld op het punt van naleving van de regelgeving - niet geborgd is in een
management control systeem. Voor de controle/toezicht kan hier dus niet op gesteund
worden en zijn er dus veel feitelijke controles (steekproeven) nodig.
- Op het tweede niveau bevinden zich organisaties die wel beschikken over een
management control systeem, maar dit systeem voldoet nog niet. Organisaties op het
tweede niveau beschikken over de potentie om een adequaat management control systeem
en verantwoording in te richten. Hier kan echter op dit moment nog onvoldoende op
gesteund worden. Dit betekent dat hier het aantal feitelijke controles (steekproeven) maar
in zeer beperkt mate teruggebracht kan worden.
- Op het derde niveau bevinden zich organisaties die wel een goed werkend management
control systeem en verantwoording daarover hebben. Bij organisaties op het derde niveau
kan de controle door de controleur worden aangepast, namelijk door aanzienlijk minder
feitelijke controles (steekproeven) te verrichten, omdat de monitoring/interne controle door
de organisatie zelf in principe afdoende is. Wel is het van belang het functioneren van het
management control systeem jaarlijks te beoordelen. Een aantal feitelijke controles
(steekproeven) zal hiervoor derhalve nog nodig blijven, naast uiteraard het vereiste aantal
feitelijke controles (steekproeven) dat noodzakelijk is vanwege afgesproken (kwantitatieve)
tolerantiegrenzen bij een controleverklaring. Maar ook dit aantal zal bij een goed werkend
management control systeem beduidend lager kunnen zijn.
- Op het vierde niveau bevinden zich de organisaties waarvan het management control
systeem en verantwoording daarover, gedurende langere tijd (drie jaar of meer achtereen)
op orde is. Op dit niveau kunnen de feitelijke controles (steekproeven) voor de beoordeling
van het management control systeem verder worden teruggebracht van een jaarlijkse
controle naar een controle van eens in de drie jaar (tenzij er tussentijdse signalen van
terugval zijn).
In zijn beoordelingsverklaring en/of rapportage van bevindingen van het management control
systeem (indien gewenst) zal de accountant/externe controleur in deze opzet (in ieder geval)
ingaan op:
Basis
o De kwaliteit van het management control systeem en de mate waarin de
accountant/externe controleur op de (verantwoordings)informatie kan steunen.
o Het aantal (aanvullende) controles (reality checks) dat de accountant/externe
controleur heeft verricht om op het management control systeem en de
(verantwoordings)informatie voor zijn beoordeling te kunnen steunen.
Inhoudelijk
o de mate van niet-naleving en overschrijding van tolerantiegrenzen van de
verplichtende regels (‘minimal critical specifications’): primair kwantitatieve
beoordeling (aangevuld met kwalitatieve beoordeling).
o de professionaliteit van de organisatie bij het maken van afwegingen en het ‘in
control en contact zijn ten behoeve van het realiseren van de
bedrijfsvoeringsdoelstellingen (zuurstof): primair kwalitatieve beoordeling
(aangevuld met kwantitatieve beoordeling).
Samenvatting
o Professioneel eindoordeel (kwantitatief en kwalitatief).
39
Elementen die uit het bovenstaande naar voren komen:
De controle moet primair gericht zijn op de ‘minimal critical specification’ (‘rode regels’)
voor de financiële bedrijfsvoering. Deze controle zal leiden tot een controleverklaring (in
geval van een accountant). Tot de ‘minimal critical specification’ die de controleur moet
controleren, zullen in ieder geval de ‘rode regels’ voor het opstellen van de jaarrekening
behoren. In een accountantsprotocol kan de lijst met de bij de controle te betrekken ‘rode
regels’ worden opgenomen.
De beoordeling door de controleur van de overige financiële bedrijfsvoering - met daarin
ook de beleidsruimte (‘zuurstof’) – kan leiden tot een beoordelingsverklaring/rapport van
onderzoeksbevindingen (in geval van een accountant). Daarin kunnen eventuele
tekortkomingen in het financieel en materieel beheer worden opgenomen. Deze
beoordeling vergt van de controleur dat hij ook kan omgaan met open geformuleerde
regels (‘blauwe regels’). Het gaat dan mede om de kwaliteit van professionele afwegingen,
die vallen buiten een ‘goed of fout’. Daarbij moet de controleur voorkomen dat hij op de
stoel van de organisatie gaat zitten.
Bij deze beoordeling kan de controleur ook komen tot een overallbeoordeling van het
management control systeem (facultatief). Idealiter is het management control systeem
‘self supporting’, dat wil zeggen, de externe controleur is eigenlijk niet meer nodig omdat
het systeem zelfcontrolerend, -corrigerend en lerend is. Voor de bepaling van de mate van
volwassenheid kan gebruik gemaakt worden van de negen kritische succesfactoren voor
extern gerechtvaardigd vertrouwen in het management control systeem (in bijlage 4 van
de achtergrondverkenning uitvoerig uitgewerkt).
De beoordeling van de totstandkoming van niet-financiële informatie (prestatiegegevens)
kan de controleur uitvoeren als onderdeel van deze overallbeoordeling van het
management control systeem (eveneens facultatief). Voor een meer inhoudelijke
beoordeling van niet-financiële informatie (prestatiegegevens) kan gedacht worden aan een
gericht onderzoek, als de controleur daarvoor de vereiste inhoudelijke kennis bezit. Maar
wellicht ligt in veel gevallen een gerichte beoordeling door anderen dan de controleur meer
voor de hand via ‘peer reviews’, intervisie, inspecties ter plaatse, deskundigenverklaringen,
sociale media etc.
15 augustus 2016 R.O.V./M.d.B.
40
Bijlage 1
Brief ‘Ruimte voor vernieuwing door toekomstbestendige wet- en regelgeving’ van minister Kamp
(EZ) aan de Tweede Kamer van 20 juli 2015:
Drie innovatieve (wetgevings)instrumenten genoemd: doelregulering, right to challenge (RTC) en
experimenteerbepalingen:
Doelregulering
Doelregulering zorgt ervoor dat in regelgeving welomschreven doelen worden gesteld en wordt
aangegeven tot wie het voorschrift zich richt. De wijze waarop aan deze doelen moet worden
voldaan wordt vrij gelaten. Regelgeving wordt zo niet verder ingevuld dan nodig is voor het
effectief borgen van de publieke belangen en de verantwoordelijkheid van een deugdelijke naleving
komt meer bij het bedrijf of de professional te liggen. Indien het mogelijk is om op deze wijze de
publieke belangen goed in wetgeving te verankeren dan is dit de meest efficiënte vormgeving van
regels en worden bepaalde (innovatieve) mogelijkheden niet bij voorbaat uitgesloten. De maximale
fijnstofuitstoot is bijvoorbeeld goed in wetgeving vast te leggen, terwijl de veiligheid van een
kerncentrale zich minder leent voor doelregulering. Een ander voorbeeld is dat de staatsecretaris
van Infrastructuur en Milieu van plan is om de regelgeving op de taximarkt op termijn meer op
doelniveau te willen formuleren. Doelregulering is daarentegen niet wenselijk als de doelstelling
slecht objectiveerbaar of meetbaar is of indien de toegenomen toezichtslasten en onzekerheid (de
mate waarin zeker is dat een alternatief ook voldoet aan de wettelijke eisen) niet opwegen tegen
de toegenomen innovatieruimte. Een vorm van doelregulering is bijvoorbeeld ook techniekneutrale
regelgeving, die ervoor zorgt dat regelgeving zich goed blijft verhouden tot innovatieve technieken
die in de toekomst beschikbaar komen.
Right to challenge
Een ander innovatiebevorderend instrument is de Right to challenge (RTC) ofwel het
gelijkwaardigheidsbeginsel. Dit is een vorm van regulering waarbij op voorhand één wijze om aan
de doelstelling te voldoen wordt beschreven en vastgelegd. Op basis van RTC krijgen partijen de
mogelijkheid om indien zij een volwaardig alternatief hebben deze ook uit te voeren. Dit principe
41
wordt bijvoorbeeld toegepast in het Bouwbesluit 2012. Als een bouwplan afwijkt van de geldende
normen, dan wordt de vergunning toch verleend als de aanvrager kan aantonen dat de alternatieve
oplossing ten minste gelijkwaardig is aan de gestelde eisen. Geaccepteerde alternatieven worden in
dit geval gepubliceerd zodat ook anderen er gebruik van kunnen maken. Op deze manier wordt
enerzijds ruimte gegeven voor verschillende regimes met behoud van zekerheid voor degenen die
geen energie willen steken in de ontwikkeling van een alternatief. Dit laatste kan bijvoorbeeld
wenselijk zijn als specifieke (technische) regels gewenst zijn. Bij toepassing van dit principe dient
aan een aantal voorwaarden te worden voldaan: een transparant en gedegen beoordelingskader,
het alternatief leidt niet tot een ander niveau van borging van publieke belangen en de ruimte die
ontstaat voor innovatie in naleving, product- en procesinnovaties en keuzevrijheid weegt op tegen
de toezichtslasten en de technische expertise die bedrijven hiervoor moeten hebben. Aan de zijde
van de overheid vergt dit de capaciteit, deskundigheid en bereidwilligheid om gelijkwaardigheid in
concrete gevallen te beoordelen.
Experimenteerbepalingen
Daarnaast bestaat de mogelijkheid om in wet- en regelgeving experimenteerbepalingen op te
nemen om ten behoeve van een of meer experimenten te kunnen afwijken van regelgeving. Zo kan
worden ingespeeld op nieuwe ontwikkelingen. Hierbij is een gedegen toetsingskader van belang;
niet alleen om te bepalen welke experimenten worden uitgevoerd, maar ook wanneer deze worden
beëindigd, verlengd of permanent mogelijk worden. Experimenteerbepalingen maken het mogelijk
om ervaring op te doen met het effectief reguleren van nieuwe ontwikkelingen waarvan nog niet
zeker is hoe die in de praktijk zullen uitwerken. Op lange termijn ontstaat zo de meest passende
wet –en regelgeving. Er zijn al diverse voorbeelden van succesvolle experimentenwetgeving zoals
de crisis- en herstelwet. Daarnaast heeft de staatssecretaris van Onderwijs, Cultuur en
Wetenschappen een experiment ‘regelluwe scholen’ aangekondigd, waarin scholen met
aantoonbaar goede kwaliteit ruimte krijgen om met het oog op verbetering van kwaliteit of
doelmatigheid af te wijken van regelgeving. Het doel van dit experiment is om te onderzoeken of
deze ruimte leidt tot innovaties. En de minister van Binnenlandse Zaken en Koninkrijksrelaties
werkt aan een ‘experimentenwet gemeenten’, op grond waarvan een aantal specifiek aangewezen
gemeenten gedurende een vooraf vastgestelde periode met een alternatieve regeling kunnen
experimenteren11. Experimenteerbepalingen kunnen goed worden ingezet wanneer er veel
onzekerheid is over de toekomst en de vraag of, en zo ja welke regelgeving nodig en werkbaar is.
Zo worden innovatieve oplossingen niet bij voorbaat uitgesloten, maar ook niet bij voorbaat
goedgekeurd. Wederom is een belangrijke afweging of de baten van het toepassen van
experimentbepalingen in wet- en regelgeving opwegen tegen de toegenomen risico’s en de inbreuk
die dit kan maken op bijvoorbeeld het gelijkheidsbeginsel. Een afwijkend wettelijke regime is
vanzelfsprekend tijdelijk van karakter, tenzij na evaluatie algemene invoering wenselijk blijkt.
42
Bijlage 2
Het (kunnen) vertrouwen van de leiding van een organisatie op het interne management control
systeem.
Hieronder volgt een uitwerking van de negen kritische succesfactoren voor gerechtvaardigd
vertrouwen. Deze uitwerking is toegespitst op het kunnen vertrouwen door de leiding van een
organisatie op het interne management control systeem:
- Duidelijke afspraken over de bedrijfsvoeringsdoelstellingen/duidelijkheid over
verwachtingen omtrent het management control systeem.
Het gaat hierbij zowel om duidelijke afspraken over de bedrijfsvoeringsdoelstellingen als
duidelijkheid over de verwachtingen die aan het management control systeem gesteld worden.
Welke doelstellingen (principles) stelt de organisatie zich op het punt van de bedrijfsvoering (intern
en extern). Hoe zijn de doelstellingen (principles) in het management control systeem doorvertaald
en hoe is dit het geval met de essentiële regels (rules) waaraan de organisatie zich strikt wil
houden: op welke mix van principles en rules stuurt de organisatie en hoe wordt een mogelijke
spanning tussen een principle en een rule (inhoudelijk/procedureel) opgelost? Zijn hier afspraken
over? Dit raakt ook het persoonlijk leiderschap en de transparantie binnen een organisatie.
Concreet: hoe wordt omgegaan met een situatie waarin het naleven van een regel veel geld kost
zonder echt een bijdrage te leveren aan het beoogde doel (kortom in strijd is met het principle
‘doelmatigheid’). Wordt in geval van niet-naleving om die reden, alleen de niet-naleving van de
regel genoteerd of ook de reden, namelijk ondoelmatigheid. Hoe wordt dit intern beoordeeld: ‘fout’
(regel niet nageleefd) of ‘goed’ (o.b.v. beoordeling vanuit principe doelmatigheid) of wordt dit
procedureel als ‘beslispunt’ voor het management aangedragen (verantwoordelijkheid
management)?
Kortom: wie concretiseert/bepaalt de (beheers)ambities ten aanzien van realiseren van de
(bedrijfsvoerings)doelstellingen en het naleven van de regels? Wie maakt daar keuzes in op basis
van welke afwegingen? Voor welke regels gaan ‘we’ voor een ‘9’, welke een ‘6’ en welke – als er
dringende andere prioriteiten zijn - een ‘5’? Welke ruimte wordt in het systeem op dit punt
43
gegeven en aan wie? Is daar intern – ook richting medewerkers t.a.v. hun beleidsvrijheid -
duidelijkheid over?
Aandachtspunt hierbij is dat management informatiesystemen - die ook onderdeel uitmaken van
het management control systeem – ‘van nature’ een sterke neiging hebben zich te richten op harde
(kwantitatieve) zaken (‘ja/nee’) en voor zachtere (kwalitatieve) zaken zoals
afwegingen/professionele beoordelingen vaak minder ruimte/belangstelling hebben. Deze zijn ook
minder makkelijk in de veelal sterk kwantitatieve (voortgangs)overzichten/dashboards op te
nemen, hooguit in de vorm van een toelichting (die vaak op het hoogste niveau wordt weggelaten
of op zo’n hoog abstractieniveau geformuleerd wordt dat die nietszeggend is). Dit betekent dus ook
een andere manier van intern rapporteren (managementinformatie).
- Afspraken/verwachtingen kunnen waarmaken
In de tweede plaats moet de organisatie de kennis en kunde hebben om de verwachtingen omtrent
de bedrijfsvoeringdoelstellingen en het management control systeem, ook waar te maken. Dit
betreft niet alleen kennis en kunde op het gebied van het vorm en inhoud geven aan de interne
bedrijfsvoeringsbeleid zelf, maar ook kennis en kunde op het punt van naleven van de regels
(instructies, plan, do, check, act etc.), kennis en kunde op het punt van het maken van de juiste
afwegingen/keuzes binnen de bedrijfsvoering in een complexe bestuurlijke omgeving en tenslotte
kennis en kunde op het punt van het intern verbinden van beide oriëntaties (regelnaleving versus
beleidsafwegingen). Hoe stuurt de organisatie op deze verschillende kennis en kundes en
verbinding daartussen? Om welke competenties/kennis (incl. selectie en opleiding) gaat het? Hoe
stelt men vast dat aan die kennis en kunde aanwezig is en in de praktijk gebracht wordt?
- Voldoende gedeeld belang
Wat betreft de verwachtingen dienen er tussen de leiding en de medewerkers voldoende gedeelde
belangen bestaan om ervan verzekerd te zijn dat er ‘samen opgelopen’ wordt. Binnen de
organisatie kunnen er uiteenlopende belangen of verschillen in oriëntatie zijn, b.v.
kostenafwegingen kunnen voor de leiding voorop staan, voor de medewerkers een optimale
(duurdere) uitvoering van de werkzaamheden. Maar ook: leiding wil eenduidigheid, (sommige)
medewerkers beleidsruimte. Of andersom: leiding wil graag ruimte geven, (sommige)
medewerkers duidelijkheid. In hoeverre slaagt de organisatie er in de verschillen in
belangen/oriëntatie intern zoveel mogelijk op een lijn te brengen en te vertalen in het management
control systeem? Wat betekenen eventuele verschillen in belangen/oriëntatie voor de
verwachtingen ten aanzien van het management control systeem? Welke aandacht is er binnen de
organisatie voor dit soort verschillen in belangen/oriëntatie en welke inzet is er om toch het
gemeenschappelijk belang zo groot mogelijk te maken.
- Goed gevoel
Het management control systeem moet de leiding een goed gevoel geven. Steunen op het
management control systeem betekent durven te vertrouwen op het functioneren van het
management control systeem van de organisatie, of te wel durven loslaten en de medewerkers
waar mogelijk ruimte durven te geven (‘leap of faith’). Welke cultuur/houding/gedrag hoort hier
bij? Je hebt het dan al gauw over de ‘tone at the top’ en de invloed daarvan op cultuur van de
organisatie. Vaak is dit een zeer belangrijke factor die niet benoemd wordt omdat die als
ongrijpbaar gezien wordt, maar onbewust vaak wel beslissend is.
- Goede informatie-uitwisseling/communicatie.
44
Een goede informatie-uitwisseling en een open communicatie intern - aansluitend op de
verwachtingen - is essentieel.
Naast de reguliere interne informatie-uitwisseling, zijn tijdige signalen over afwijkende
ontwikkelingen/incidenten misschien nog wel belangrijker. Het gaat erom dat deze informatie - al
dan niet informeel uitgewisseld - ervoor zorgt dat de leiding, maar ook de medewerkers niet voor
verrassingen/faits acompli’s worden gesteld. Dit betekent intern openheid op ieder moment over
invulling van de (beleids)ruimte, spanning tussen doelstellingen en regels, het voordoen van ‘bijna
ongelukken’ etc. Intern toezicht is gebaat bij een cultuur waarin tegenspraak geaccepteerd is.
- Zicht op risico’s en acceptatie van risico’s
Welk zicht heeft de leiding op het risico dat hun verwachtingen ten aanzien van de interne
beheersing door het management control systeem niet altijd zullen worden waargemaakt en in
welke mate zijn zij bereid dit risico te accepteren.
Geen enkel management control systeem zal alle risico’s kunnen voorkomen (ook in een strikte
rule based omgeving met veel controle, zullen risico’s kunnen optreden: schijnzekerheid, geen
verantwoordelijkheid nemen, vermindering alertheid als alles belangrijk is etc.). Welke risico’s
komen naar voren uit de risicoanalyse van de organisatie zelf en het risicomanagement systeem
dat onderdeel uitmaakt van het management control systeem? Hoe wordt daarbij door de
organisatie omgegaan met deze risico’s? Welke beheersmaatregelen maken onderdeel uit van het
risicobeheersingsysteem. Maar ook: in welke mate worden er risico’s geaccepteerd (b.v. inherent
aan de gegeven ruimte) en geëvalueerd? Is de risicoanalyse statisch (vanuit risico’s in het
verleden) of daarnaast ook dynamisch (gericht op het in beeld brengen van risico’s van
ontwikkelingen/toekomst)? Wordt ook de mens als risicofactor beschouwd (vertonen van ander
gedrag dan volgens het formele verwachtingspatroon)?
- Mogen controleren/vragen stellen
Vertrouwen op het management control systeem door de leiding moet geen blind vertrouwen zijn.
Monitoring door FEZ en/of interne controles (reality checks) door de interne auditdienst moeten
vanzelfsprekend zijn. Dit kan een vraag om nadere toelichting zijn als er op basis van andere
informatie concrete vraagpunten zijn (signalen, tegenstrijdige informatie etc.), maar ook het
vereiste aantal controles voor het bepalen van voldoende (statische) zekerheid in geval van de
‘minimal critical specifications’. Deze monitoring/controles dienen ervoor om te zorgen dat het
vertrouwen van de leiding in het management control systeem (en daarmee ook in het gedrag van
de medewerkers) gerechtvaardigd is en blijft. Dit is in principe een wederzijds belang, maar vraagt
wel een goede interne afstemming/communicatie. Vertrouwen is goed, begrijpen is beter. Het
(mogen) controleren moet ook de ‘rotte appels’ binnen het systeem er zoveel mogelijk uit halen.
- Bespreken van incidenten en daarvan leren
Er kan en zal in ieder management control systeem af en toe (als het goed is, niet te vaak) iets
misgaan. Dit is één van de risico’s die in principe binnen een bepaalde marge geaccepteerd moet
worden (zie ook hierboven ad 6), maar waarvan iedereen graag ziet dat het zo min mogelijk
voorkomt, speciaal bij essentiële regels (‘minimal critical specifications’). Dan gaat het erom dit
toch open intern te bespreken, te analyseren opdat ervan door de organisatie/medewerkers
geleerd kan worden (als onderdeel van het management control systeem). Vertrouwen in en
binnen de organisatie kan ondanks een incident toenemen, als de organisatie/medewerkers daar
maar van leren (single/double loop leercurve). Het moet alleen niet te vaak voorkomen en/of te
ernstige zaken betreffen. Dit heeft een relatie met kennis en kunde (professionaliteit, ad 2):
Professionaliteit betreft zowel een goede aanpak waardoor niet te veel incidenten als het vermogen
45
om van incidenten - als die zich desondanks toch voordoen - te leren. Fouten maken moet in
principe mogen, mits ervan geleerd wordt en het geen essentiële onderdelen betreft.
- Consequenties bij teveel of bewuste inbreuken
Het management control systeem moet wel in voldoende mate invulling geven aan de
verwachtingen van de leiding. Als er teveel inbreuken zijn (zonder verbetering) of als er binnen de
organisatie ernstige inbreuken niet gemeld worden, dan is er een grens. Dan is steunen op het
management control systeem door de leiding in die situatie niet (meer) mogelijk. Dit betekent dat
door de leiding intern aan die veelvuldige en/of ernstige inbreuken consequenties zal dienen te
verbinden (b.v. extra intern toezicht, personele consequenties). Eerst zal dan de basis op orde
gebracht dienen te worden (voldoen aan de naleving van de ‘minimal critical specifications’), pas
daarna zal vertrouwen op het management control systeem (inclusief beleidsruimte) weer aan de
orde kunnen zijn
Bijlage 3
De mate van volwassenheid kan invloed hebben op de mate van controle/toezicht. Hierbij kan
onderscheid gemaakt worden tussen 4 niveau’s:
- Op het eerste niveau bevinden zich organisaties die nauwelijks een management control
systeem van betekenis hebben. Organisaties op het eerste niveau hoeven op zich geen
slechte nalevers te zijn. Het betekent wel dat de kwaliteit van (verantwoordings)informatie
- bijvoorbeeld op het punt van naleving van de regelgeving - niet geborgd is in een
management control systeem. Voor de controle/toezicht kan hier dus niet op gesteund
worden en zijn er dus veel feitelijke controles (steekproeven) nodig.
- Op het tweede niveau bevinden zich organisaties die wel beschikken over een
management control systeem, maar dit systeem voldoet nog niet. Organisaties op het
tweede niveau beschikken over de potentie om een adequaat management control systeem
in te richten. Hier kan echter op dit moment nog onvoldoende op gesteund worden. Dit
betekent dat hier het aantal feitelijke controles (steekproeven) maar in zeer beperkt mate
teruggebracht kan worden.
- Op het derde niveau bevinden zich organisaties die wel een goed werkend management
control systeem hebben. Bij organisaties op het derde niveau kan de controle door de
controleur worden aangepast, namelijk door aanzienlijk minder feitelijke controles
(steekproeven) te verrichten, omdat de monitoring/interne controle door de organisatie zelf
in principe afdoende is. Wel is het van belang het functioneren van het management
control systeem nog jaarlijks te beoordelen. Een aantal feitelijke controles (steekproeven)
zal hiervoor derhalve nog nodig blijven, naast uiteraard het vereiste aantal feitelijke
controles (steekproeven) dat noodzakelijk is vanwege afgesproken (kwantitatieve)
tolerantiegrenzen bij een controleverklaring. Maar ook dit aantal zal bij een goed werkend
management control systeem beduidend lager kunnen zijn.
- Op het vierde niveau bevinden zich de organisaties waarvan het management control
systeem gedurende langere tijd (drie jaar of meer achtereen) op orde is. Op dit niveau
kunnen de feitelijke controles (steekproeven) voor de beoordeling van het management
46
control systeem verder worden teruggebracht van niet meer een jaarlijkse controle tot een
controle van eens in de drie jaar (tenzij er tussentijdse signalen van terugval zijn).
Hoe effectiever het compliance management systeem (CMS, opzet én implementatie), des te meer
het toezicht kan verschuiven naar een meta- (systeem)niveau.
Bij een mismatch tussen deze beide factoren daarentegen ontstaan problemen:
Bij een te strikt toezicht op details en een effectief CMS is het toezicht inefficiënt vanwege
redundanties in controle (in- en extern) en frustrerend voor de onder toezicht staande die zich niet
erkend voelt voor de inspanningen in CM.
Bij een teveel op systeemniveau gebaseerd toezicht en achterblijvend effectiviteit van het CMS is
er teveel vrijheid voor de onder toezicht staande met onacceptabele risico’s als gevolg (zie
volgende afbeelding):
47
Bijlage 4
Het (kunnen) vertrouwen van de controleur op het interne management control systeem.
Hieronder volgt een uitwerking van de negen kritische succesfactoren voor gerechtvaardigd
vertrouwen. Deze uitwerking is toegespitst op het kunnen vertrouwen door een controleur op de
leiding van een organisatie en het gehanteerde interne management control systeem van een
organisatie:
De negen uitgewerkte kritische succesfactoren voor het gerechtvaardigd kunnen vertrouwen door
een controleur op het management control systeem van een organisatie:
- Duidelijke afspraken/duidelijkheid over verwachtingen.
48
Het gaat hierbij om de duidelijkheid over de verwachtingen van de controleur ten aanzien van de
organisatie en over de verwachtingen die op dit punt aan het management control systeem
ontleend mogen worden. De controleur zal bij voorkeur vooraf aangeven welke onderdelen van de
verantwoording hij op basis van de van toepassing zijnde regelgeving zal controleren/beoordelen
en op welke wijze. Dit laatste zal zowel kwantitatief als ook kwalitatief kunnen zijn.
De organisatie kan dan met deze verwachtingen bij de doorvertaling van de verplichtende (‘rode’)
regelgeving in het management control systeem, maar ook bij de verantwoording op basis van het
management control systeem rekening kunnen houden. Normaliter zal geen licht zitten tussen deze
doorvertaling door de organisatie en de verwachtingen van de controleur omdat de van toepassing
zijnde regelgeving voor beiden het uitgangspunt zal (moeten) zijn. Het is wel goed dit vooraf af te
stemmen om naderhand (interpretatie)discussies te vermijden.
De jaarrekeningcontrole is daarbij een verplichte, afzonderlijke controle die moet voldoen aan de
eisen van de wet/CW en de regels voor de accountantsberoepsgroep in geval van een wettelijke
controleverklaring. De eisen in de wet/CW ten aanzien van het opstellen van de jaarrekening door
de organisatie behoren per definitie tot de minimal critical specifications (veplichtende
regelgeving). De controleur geeft in de controleverklaring aan of de jaarrekening een getrouw
beeld met in achtneming van de wettelijke, externe regels geeft.
- Afspraken/verwachtingen kunnen waarmaken.
Voor de controleur is het van belang dat het management control systeem van voldoende mate
kwaliteit is om de hierboven bepaalde verwachtingen waar te kunnen maken. Dit betekent een
beoordeling van de opzet van het management control systeem, inclusief kennis en kunde van de
medewerkers.
Aan de andere kant mag de organisatie van de controleur verwachten dat deze over voldoende
deskundigheid ten aanzien van de (overheids)organisatie, taak en activiteiten en omgeving
beschikt (knowing the business).
- Voldoende gedeeld belang
Wat betreft de verwachtingen dienen er zowel tussen de organisatie en de controleur voldoende
gedeelde belangen bestaan om ervan verzekerd te zijn dat er ‘samen opgelopen’ wordt en het
interne management control systeem ook ten dienste kan staan van (de belangen van de) partijen
daarbuiten. Het gedeeld belang zit hem in een goede werking van het management control
systeem, inclusief de naleving van de verplichtende regelgeving. Zowel de organisatie als de
controleur hebben hier groot belang bij.
Toch kunnen er ook in de relatie met de controleur uiteenlopende belangen of verschillen in
oriëntatie bestaan, b.v. kostenoverwegingen kunnen voor de organisatie voorop staan, voor de
controleur het kunnen controleren van de naleving van regelgeving (gedetailleerde
vastleggingen/aanwezig zijn van bewijsstukken). Maar ook in positie: een organisatie die in de
veelheid van regelgeving waaraan op ieder moment moet worden voldaan, soms gedwongen is
keuzes te maken (maken van afwegingen) en de controleur die niet altijd de positie heeft daarin
mee te kunnen gaan.
Het gaat er dan om op basis van gedeeld belang met begrip voor de positie van de ander tot een
voor beide partijen zo bevredigend mogelijke oplossing te komen, b.v. door (een combinatie van)
benutting van ruimte in de regelgeving (‘zuurstof in het systeem’), een nauwkeurige risico-
inschatting, het volgen met behulp van datamining/procesmining technieken, wel signaleren, maar
geen (hard) oordeel etc. Kortom vanuit het gedeelde belang, niet kijken naar wat niet kan, maar
naar wat wel kan (denken in oplossingen, niet in problemen).
- Goed gevoel
49
De organisatie en het management control systeem moet de controleur een goed gevoel geven.
Steunen op het management control systeem betekent durven te vertrouwen op het management
control systeem van de organisatie, of te wel durven loslaten (‘leap of faith’). Dit is uiteraard
ergens op gebaseerd (goede afspraken, deskundigheid organisatie etc.), maar het intermenselijke
aspect en ook intuïtie spelen hierbij vaak onbewust een belangrijke rol. Vertrouwen hebben zonder
een goed gevoel is bijna ondenkbaar. Het is belangrijk hierin van beide kanten te investeren. Zeker
in een situatie dat de belangen niet helemaal synchroon lopen is het kunnen terugvallen op een
wederzijds goed gevoel essentieel.
- Goede informatie-uitwisseling/communicatie.
Een goede informatie-uitwisseling/communicatie moet zorgen voor het voorkomen van
misverstanden en irritaties. Voor de controleur is informatie over zaken die niet (of bijna niet) goed
gegaan zijn het meest van belang. Als deze informatie wordt achtergehouden of met vertraging
gemeld zal dat de (vertrouwens)relatie onder druk zetten.
De organisatie zou daartegenover van de controleur mogen verwachten dat deze die informatie wel
afzet tegen het ongetwijfeld veel grotere aantal zaken die wel goed gegaan zijn. Een te eenzijdige
focus van de controleur zou in dit verband averechts kunnen werken. Een organisatie die open is
over de zaken die minder goed zijn gegaan en daar gericht aan werkt, zou daarvoor een positieve
beoordeling moeten ontvangen en niet ‘afgestraft’ worden met extra aandacht (controles), zolang
duidelijk is dat de organisatie juist alert en ‘in control’ is.
- Zicht op risico’s en acceptatie van risico’s
Welk zicht hebben de controleur op het risico dat hun verwachtingen ten aanzien van de interne
beheersing door het management control systeem niet altijd zullen worden waargemaakt en in
welke mate zijn zij bereid dit risico te accepteren. Dit zal in belangrijke mate bepaald worden door
de eigen risicobeoordeling, maar tegelijk ook nauw samenhangen met de risicoanalyse van de
organisatie zelf en het risicomanagement systeem dat onderdeel uitmaakt van het management
control systeem.
Bij systeem gerichte controle gebaseerd op het interne bestuurlijke systeem van een organisatie
zal er altijd een inherent risico bestaan. Het gaat erom dit zekere risico te erkennen en – binnen
bepaalde grenzen – te accepteren en daar ook duidelijk over zijn zowel richting de gecontroleerde
als richting de buitenwereld (maatschappij).
Het is hierbij belangrijk zicht te hebben in de drijfveren om regelgeving wel/niet na te leven. Die
kunnen zijn:
- hedonistisch (wat is voor mij het makkelijkst)
- economisch (wat kost mij het minste geld/levert mij het meeste op)
- normatief (wat wordt van mij door de omgeving verwacht)
In het geval van b.v. Odjfell dat louter vanuit economisch perspectief handelde, kan het risico van
niet-naleving alleen vermindert worden door strenge controles en hoge boetes.
- Mogen controleren/vragen stellen
Vertrouwen op het management control systeem door controleur moet geen blind vertrouwen zijn.
Er moeten altijd feitelijke controles ter plaatse (reality checks) kunnen plaatsvinden. Dit kan zijn
het vereiste aantal controles voor het bepalen van voldoende (statische) zekerheid, maar ook een
gesprek (vraag om nadere toelichting) als er op basis van andere informatie concrete vraagpunten
zijn (signalen, tegenstrijdige informatie etc.). Deze controles/vraaggesprekken dienen ervoor om te
zorgen dat het vertrouwen in het management control systeem gerechtvaardigd is en blijft. Dit is in
principe een wederzijds belang, maar vraagt wel een goede afstemming/communicatie. De
50
beoordeling van het functioneren van het management control systeem, inclusief naleving van de
externe en interne regels vindt plaats op basis van de verantwoording daarover door het
management (zie hierboven ad 4), in combinatie met de genoemde reality checks door de
controleur.
- Bespreken van ‘incidenten’ en daarvan leren
Er kan en zal in ieder management control systeem af en toe (als het goed is, niet te vaak) iets
misgaan (‘incidenten’). Dit is een van de risico’s die in principe binnen een bepaalde marge
geaccepteerd moet worden, maar waarvan iedereen graag ziet dat het zo min mogelijk voorkomt,
in het bijzonder bij verplichtende (‘rode’) regels. Het is primair de verantwoordelijkheid van het
management tijdig incidenten al dan niet in het kader van de verantwoording open en transparant
te melden. Deze incidenten kunnen ook in het kader van de controle (reality checks) naar voren
komen. In beide gevallen gaat het erom deze incidenten tussen organisatie en controleur goed te
bespreken en te analyseren opdat ervan door de organisatie geleerd kan worden (als onderdeel
van het management control systeem). Vertrouwen in de organisatie kan ondanks een incident
toenemen, als de organisatie er maar van leert (single/double loop leercurve). Het moet alleen niet
te vaak voorkomen en/of te ernstige (essentiële) zaken betreffen. De controleur zal wel te allen
tijde relevante incidenten (zeker als het daarbij gaat om overschrijdingen van toleranties) moeten
melden in zijn rapportage, maar daarbij ook aangeven wat de organisatie daaraan doet (inzet op
verbeteringen). Dus niet direct gaan voor meer (regels en) controle, maar in eerste instantie bij de
verantwoordelijkheid van de organisatie laten en aansluiten bij de monitoring door de organisatie
zelf.
- Consequenties bij teveel of bewuste inbreuken
Het management control systeem moet wel in voldoende mate invulling geven aan de
verwachtingen van de controleur. Als er teveel inbreuken zijn (zonder verbetering) of als de
organisatie bewust (zeer) ernstige inbreuken veroorzaakt (zonder melding) dan is er een grens.
Dan is steunen op het management control systeem in die situatie niet (meer) mogelijk. Dit
betekent dat door de controleur aan die veelvuldige en/of zeer ernstige inbreuken consequenties
verbonden dienen te worden (b.v. extra verticaal toezicht, personele consequenties), afhankelijk
van de ernst van de situatie en bevoegdheden van de controleur. Proportionaliteit is hierbij wel van
belang. Vertrouw meer, maar tolereer minder. In het geval van Odjfell na de zoveelste
overtreding: zero tolerance.
Bijlage 5
Voorbeelden van de systeemgericht toezicht/controle (in relatie tot mate van
volwassenheid organisatie)
Aannemelijk is dat binnen een bepaalde doelgroep van te beoordelen organisaties er verschillen
bestaan in termen van motivatie en vermogen om de interne beheersing goed te organiseren. Dit
impliceert dat een strategie om meer ruimte te geven afgestemd moet zijn op de verdeling in
koplopers, middenmoters en koplopers:
51
Chemische industrie
- Ruimte bieden aan eigen verantwoordelijkheid; als het daarbij gaat om de chemische
procesindustrie zal menigeen de wenkbrauwen fronsen. Toch is dat precies wat de
Provincie Groningen en Rijkswaterstaat Noord-Nederland van plan zijn te doen bij de
chloorfabriek van AkzoNobel in Delfzijl. Zij gaan in het kader van de Wet algemene
bepalingen omgevingsrecht (Wabo) en de Waterwet systeemgericht toezicht uitoefenen,
omdat het bedrijf met compliance management laat zien de zaken goed op orde te hebben.
Het toezicht verschuift naar de vraag hoe het bedrijf zichzelf controleert. De vergunning
wordt ook aangepast aan deze situatie.34
Onderwijs
- De Inspectie van het Onderwijs (IvhO) wil onderwijsbesturen die beter sturen op kwaliteit
meer ruimte geven.35 De IvhO realiseert zich dat als zich problemen voordoen op het
gebied van kwaliteit of financiën, men achter de feiten aan loopt. Daarom onderzoekt de
IvhO welke factoren kenmerkend zijn voor risicovolle besturen zodat men over kan gaan
naar leading ipv lagging indicators. Deze leading indicators hebben gaan vooral over
management systemen, cultuur, gedrag en competenties van bestuurders en interne
toezichthouders.
Zorg
- Al jaren wordt nagedacht over de vraag in hoeverre zorginstellingen zelf in staat zijn om te
waarborgen dat zij veilige en kwalitatief zorg leveren. Ook de Kwaliteitswet zorginstellingen
verlangt dit. In een pilotproject heeft de Inspectie voor de Gezondheidszorg (IGZ) een voor
de sector nieuwe manier van toezicht houden getest. Het doel was te verkennen of deze
aanpak IGZ zou kunnen helpen met de verbetering van de borging van kwaliteit en
veiligheid in de sector. De voornaamste conclusies van de pilot waren: (a) ST levert een
bijdrage aan de doelstellingen van de inspectie; (b) ST biedt de IGZ een instrument om
pro-actief zorgaanbieders aan te spreken om patiëntveiligheid en kwaliteit structureel en
systematisch te borgen; (c) ST levert inzicht in de mate van risicobeheersing door de
instelling zelf en maakt dat de aandacht van de IGZ kan worden geconcentreerd op die
instellingen waar patiëntveiligheid en kwaliteit van zorg onder de maat zijn.36
34 Bron Romagazine: http://romagazine.nl/systeemgericht-toezicht/3481
35 Kamerbrief Minister en Staatssecretaris van Onderwijs, 28 maart 2014, kenmerk 594613
36 Bron: Evaluatieonderzoek Systeemtoezicht op kwaliteit en veiligheid in de zorg Fase 1. Ontwikkeling van het
instrumentarium en eerste ervaringen, Stoopendaal A., De Bree M.A., Instituut voor Bestuur en Management in
de Gezondheidszorg, 2014
52
Geraadpleegde literatuur
ABD artikel. ‘Goed doen kost professionele ruimte’ in ABD blad nr. 4, 2014.
Actal. Advies ‘Lastenluwer toezicht en handhaving voor ondernemers’, 11 juni 2015.
Autoriteit Financiële Markten (AFM). Agenda 2014-2018.
Better Regulation Commission. Schema ‘The Regulatory response to risk’, Verenigd Koninkrijk,
2006.
Bik, O. Controle-obesitas: middel erger dan de kwaal. Financiële Dagblad 28 juni 2010.
Budding, G.T. Management paradigma’s binnen de publieke sector. MCA nr. 6, december 2014.
53
Camps, M. Nieuwjaarsartikel. ESB, nr. 1, 2015.
CCV instrument: Interventie kompas . www.interventiekompas.nl
Cooperrider, D.L. en D. Whitney. A positive revolution in change: Appreciative Inquiry, 2003.
Corbey, M.H. Agent of Steward? Over mensbeeld en management control. MAB, oktober 2010.
Damen, P. en H. L. van Mierlo in artikel ‘Geef banken het recht van regels af te wijken’ in
Financieel Dagblad van 9 oktober 2015.
De Nederlandsche Bank (DNB). De 7 elementen van een integere cultuur (DNB). November 2009.
De Nederlandsche Bank: De integriteitrisicoanalyse 27 augustus 2015: Een onterecht vertrouwen in
procedures en maatregelen.
Dijk, P. van en Rob Velders. Actoren en factoren: over regeldruk en het samenspel van beleid en
toezicht. Essay geschreven op verzoek van Actral. 31 mei 2015.
Frissen, V. (hoogleraar ICT en sociale verandering aan de Erasmus Universiteit) op www.open-
overheid.nl.
Goodijk, R. Van afvinken naar aanspreekbaarheid. Oratie VU Amsterdam, 12 november 2015.
Groeneveld, S.M. Het belang van bureaucratie: omgaan met ambivalentie in public management.
Oratie Universiteit Leiden. 27 mei 2016.
Haagsma, A. Appreciative Auditing. Referaat Amsterdam Business School, 8 november 2008.
Hakvoort, H. en H. Klaassen. Botsende rationaliteiten. Tijdschrift voor Public Governance, Audit &
Control (TPC), 2016, nr. 3.
Hart, W. Verdraaide organisaties. Terug naar de bedoeling. Kluwer. Deventer, 2012.
HEAD. Handreiking Control Framework. Juni 2015.
Hood, C.C. The New Public Management in the ‘80’s. Accounting, Organizations and Society, 20,
1995.
Karssing, E. Uit de boekenkast van de Bedrijfsethiek (44). Tijdschrift voor Compliance, mei 2012.
Karssing, E. Uit de boekenkast van de Bedrijfsethiek (49). Tijdschrift voor Compliance, oktober
2013.
Karssing. E. Regels. Over vuilnis, integriteit en de relativiteitstheorie van Niessen, in “Zoals een
goed ambtenaar betaamt”. Den Haag: Ien Dales Leerstoel, 2010.
Kwakman, H. Slow banking. Van verkrampte control naar de kracht van contact. Van Gorcum.
Assen, 2013.
Ministerie van BZK. Nederlandse code voor goed openbaar bestuur, 2009.
Ministerie van BZK. Handreiking bestuurlijk balanceren met risico’s en verantwoordelijkheden,
januari 2015.
Ministerie van Financiën. Doreac (Doorlichting Regelingen op Accountancy-aspecten), 2002.
Ministerie van Financiën. Baseline financieel en materieel beheer, juli 2003.
Ministerie van Financiën. Agenda Controlebestel (goedgekeurd door het SG-Overleg), 2015.
54
Ministerie van Financien. Comptabiliteitswet 2016. Kamerstuk 2015/2016 nr. 34426, nr 2.
Moore, M. Creating Public value. Harvard University Press. Cambridge, 1995.
NBA. Schrijfwijzer accountantsprotocollen, Amsterdam, maart 2014.
Niessen, R. Vluchten kan niet meer. Vossiuspers, Amsterdam, 2001.
PIANO. Durf te experimenteren binnen wettelijke kaders. Persbericht 25 maart 2016.
Pollitt, C. Managerialism and the public services. Blackwell publishers, Oxford, 1993.
Schillemans, T . Condities voor vertrouwen. Tijdschrift voor Public Governance, Audit & Control
(TPC), 2013.
Simons, R. L. Levers of control. Harvard Business Review Press, 1994.
Talbot, C. Paradoxes and prospects of ‘public value’. Public Money & Management, 31, 2011.
Vosselman, E. Control in de moderne overheidsorganisatie: van opportunistische agenten naar
betrouwbare stewards (bewerking van de oratie uitgesproken op 8 december 2011 aan de VU).
Wieleman, H. NBA. Interview in Financieel Dagblad 17 juni 2015.