Administratieve organisatie:
AO Nieuwe Stijl
Het vak Administratieve Organisatie bestaat meer dan 100 jaar. Het beeld dat soms van het vak naar voren komt, is dat er weinig veranderingen in het vak hebben plaatsgevonden. In dit artikel worden zeven omstandigheden genoemd die hebben geleid tot veranderende opvattingen. Dit zijn (1) de veranderende scope van het vak, (2) de hantering van de risicobenadering, (3) de nadruk op gedragsbeïnvloeding, (4) het belang van alignment, (5) de aandacht voor complexere organisatievormen, (6) het meenemen van verandermanagement en (7) het hanteren van informatietechnologie als uitgangspunt. Deze factoren leiden tot de uitbreiding van de zo bekende klassieke theorie van Starreveld tot een AO nieuwe stijl.
Arco van de Ven: Wie aan het vak Adminis-
tratieve Organisatie denkt, denkt aan Starreveld. De naam van Starreveld staat voor de rijke traditie die Nederland heeft op het vakgebied Bestuurlijke Informatieverzorging (BIV). Het vak dat onder een breder publiek nog met de oude naamgeving Administratieve Organisatie, meestal afgekort tot AO, wordt aangeduid. Het vak AO is van oudsher een centraal onderdeel van de postinitiële opleidingen tot registeraccountant en registercontroller. Het beeld dat vooral (oud-)studenten van het vak hebben: het met een positief resultaat afsluiten van het examen is niet eenvoudig en het volgen van het vak met het wekelijks maken en inleveren van opdrachten is een zeer tijdrovende zaak. Maar tevens wordt onderkend dat het volgen van het vak een hoge praktische toegevoegde waarde heeft. De eerste resultaten van een recent gehouden enquête onder afgestudeerde registeraccountants, registercontrollers en EDP-auditors bevestigen dit. Op een 5-puntsschaal worden hoge cijfers toegekend aan de vragen: nuttig voor mijn ontwikkeling in de praktijk (4,45) en nuttig voor mijn huidige functie (4,35).1 Daarom is bij het bespreken van veranderingen
Noot 1. Van Beek, 2010, Evaluatie van het vak Bestuurlijke Informatieverzorging, alumni van Accountants- en Controllersopleidingen, Onderwijscentrum VU, juni 2010.
28
MCA: december 2010, nummer 6
in het vak het Nederlandse gezegde ‘onderzoekt alles en behoudt het goede’ zeker van toepassing. In dit artikel worden in hoofdlijnen de nodige aanpassingen en aanvullingen beschreven op de klassieke benadering van het vak AO. Het is hierbij geenszins de bedoeling om de kathedraal van Starreveld af te breken, maar om in een veranderend religieus landschap, door hervormingen, het geloof juist sterker te maken. Natuurlijk is het vak AO door de jaren heen veranderd en zijn in diverse publicaties discussies over de invulling van het vak geweest en zijn er elementen aan de theorie toegevoegd. Het is mijn bedoeling de hoofdlijnen van de gewijzigde opvattingen te benoemen op basis van een zevental veranderingen die van invloed zijn op het vak AO.
Veranderende scope
De kern van de klassieke theorie van Starreveld met zijn bekende typologie is de volledigheid van de opbrengstenverantwoording. Controletechnische functiescheiding en dwingende verbanden in de waardekringloop worden als centrale elementen naar voren gebracht om systematisch de volledigheid van de opbrengstverantwoording te kunnen vaststellen. Centraal staat de, afnemende, mogelijkheid om dwingende verbanden in de waardekringloop te hanteren om de volledigheid van de opbrengstverantwoording vast te stellen. Het uitgangspunt van de typologie wordt gevormd door het aandragen van alternatieve oplossingen voor de afname van de harde verban-
Thaikrit : beeld
MCA: december 2010, nummer 6
29
den in de waardekringloop. Vervolgens zijn de consequenties in de werken van Starreveld cum suis zeer systematisch en uitvoerig uitgewerkt in referentiemodellen naar type organisatie en naar de verschillende processen in organisaties. Veel discussies over AO en de typologie zijn in het verleden gegaan over de scope van het vak AO.2 Niet zozeer of de ideeën van Starreveld toepasbaar zijn inzake de volledigheid van de opbrengstverantwoording, maar de discussie ging over de beperkte mate van toepasbaarheid voor andere doeleinden. Het hanteren van een bredere scope leidde daarom tot het voorstellen van het hanteren van andere theorieën. Het meenemen van andere kwaliteitsaspecten van informatie, zoals welke relevante informatie nodig is voor het sturen en beheersen van organisaties, leidt zo tot een uitbreiding van het theoretisch kader. Hiervoor wordt veel theorie uit aangrenzende vakgebieden zoals Management Accounting & Control gehanteerd. In veel AO-opleidingen worden vanuit deze bredere scope bijvoorbeeld de Business Balanced Scorecard van Kaplan en Norton en de Levers of Control van Simons gedoceerd.3 Naast de uitbreiding naar een breder kwaliteitsspectrum van informatie, zijn er ook voorstanders van verbreding van AO naar bijvoorbeeld Interne Beheersing en Risicomanagement op basis van de COSO-modellen. Hierbij komt de redelijke zekerheid dat organisaties hun doelstellingen bereiken centraal te staan. De toegevoegde waarde van de klassieke theorie op basis van de typologie is natuurlijk beperkt tot het doel waarvoor het is ontworpen: de betrouwbaarheid van informatie. Het destilleren van relevante informatie of het bieden van redelijke zekerheid om organisatiedoelstellingen te bereiken, is niet het uitgangspunt bij het ontwikkelen van de theorie geweest. Een tweede aspect van de discussie over de
Noten 2. Zie bijvoorbeeld Van de Ven, 2009, Interpretaties, afbakening en
scope van het vak AO betreft de wisselwerking van maatregelen die worden getroffen vanuit een AO-invalshoek en doelstellingen die buiten de scope van het vak vallen. Het toepassen van de klassieke theorie kan bijvoorbeeld ook een negatieve invloed hebben op andere doelen van een organisatie, zoals op de effectiviteit en efficiency van de bedrijfsvoering. Zo kan een hoge mate van betrouwbaarheid tijdrovend zijn en ten koste gaan van de snelheid van het leveren van de informatie. En kan standaardisatie van processen met ingebouwde controlemaatregelen strijdig zijn met een, vanuit het klantenperspectief gewenste, hoge mate van flexibiliteit.
Hantering risicobenadering
De uitwerking van de AO heeft meestal haar weergave in de vorm van procesbeschrijvingen. Bij veel mensen roept het begrip AO de notie op van handboeken, instructies en procedures. Het standaardiseren, gedetailleerd uitwerken van hoe werkzaamheden moeten worden uitgevoerd en het voorschrijven van de te voeren werkwijze zijn altijd belangrijke onderdelen van het vak AO geweest. Bij het uitwerken van de administratieve processen wordt veel aandacht besteed aan de maatregelen die betrouwbaarheid van de informatie moeten borgen. Zo vormen de behandeling van de controletechnische functiescheiding, specifieke controles in de processen en door de administratie te verrichten periodieke controles en analyses belangrijke elementen van de procesbeschrijvingen. Mede onder invloed van de COSO-raamwerken en Sarbanes-Oxley-wetgeving, wordt er steeds vaker vanuit een risicoperspectief gewerkt. Voor de specifieke risico’s worden beheersingsmaatregelen, vaak aangeduid als key-controls, getroffen. Vervolgens wordt er op basis van informatie en controles vastgesteld of deze maatregelen worden nageleefd.4 De samenhang tussen risico’s, maatregelen en informatie over naleving vormt hierbij de kern van de beheersing. De in de processen opgenomen maatregelen worden als het ware
toekomst van BIV/AO, Maandblad voor Accountancy en Bedrijfseconomie, jrg 83, no.11, november, pp. 36-363 en reactie van prof. Joëls, BIV/ AO en de accountant, Maandblad voor Accountancy en Bedrijfseconomie,
Noot
mei 2010, pp. 268-269.
4. N aast de naleving van de maatregelen is het monitoren van de
3. In mijn oratie (Van de Ven, 2008, Administratieve Organisatie: praktisch
effectiviteit van de maatregelen van belang. Bij het bespreken van
relevant maar ook wetenschappelijk interessant) heb ik aangegeven dat ik
de gedragsbeïnvloeding wordt verder ingegaan op de effectiviteit
persoonlijk de vraag welke relevante informatie nodig is niet tot de
van de maatregelen en de noodzaak van monitoring van deze
scope van BIV/AO reken.
effectiviteit.
30
MCA: december 2010, nummer 6
‘De wisselwerking tussen harde en zachte controls is zeer sterk’ uit de processen gelicht en in verband gebracht met de aanwezige risico’s. Strikt gesproken betekent dit dat vanuit een beheersingsperspectief geen procesbeschrijvingen meer nodig zijn om te beoordelen of de getroffen maatregelen de risico’s in voldoende mate mitigeren. Hiermee wordt niet gepleit voor het afschaffen van procesbeschrijvingen. Zo kunnen bijvoorbeeld werkinstructies zeer effectieve maatregelen zijn om de continuïteit van de werkzaamheden te borgen in geval van vakantie, ziekte en bij wisselingen van personeel. Maar de mate van detaillering zal vaak concreter moeten zijn, zogenaamd dummy proof, dan in een traditionele AO-beschrijving. En natuurlijk kunnen een procesanalyse en procesbeschrijving een grote toegevoegde waarde hebben in de analyse van de processen en bijdragen aan het inzicht in de mate van effectiviteit van beheersingsmaatregelen in hun specifieke context en in de aanwezige mogelijkheden tot verbetering van de processen.
Nadruk op gedragsbeïnvloeding
In de klassieke AO staan de formele systemen centraal. De factor mens wordt als het ware buiten beschouwing gelaten en de formele systemen moeten voorkomen dat mensen ongewenste zaken kunnen doen, en als dat niet lukt, dat deze ongewenste zaken tijdig worden gedetecteerd en gecorrigeerd. In de afgelopen jaren is er steeds meer aandacht gekomen voor de menselijke factor. Binnen COSO wordt de nadruk gelegd op de interne omgeving, waarin het belang van de ‘tone at the top’ wordt benadrukt en is er met betrekking tot beheersingsmaatregelen aandacht voor de zogenaamde ‘soft controls’. Vanuit een risico-optiek is van belang dat de mix van maatregelen, zowel harde als zachte, tot het gewenste gedrag leidt. Zo wil het voorschrijven van user-ids en passwords niet zeggen dat met deze maatregel het gewenste effect wordt bereikt. Bijvoorbeeld als bij alle medewerkers gele post-its met deze gegevens op het beeldscherm worden geplakt, zal deze vorm van logische toegangsbeveiliging niet werken. De vraag naar wat de effectiviteit van beheersingsmaatregelen daadwerkelijk in de praktijk bepaalt, zal de komende jaren steeds meer centraal komen te staan.5 Onderzoek op het gebied
van vertrouwen, rechtvaardigheid en intrinsieke en extrinsieke motivatie van medewerkers laat zien dat de wisselwerking tussen harde en zachte controls zeer sterk is en dat het bepalen van welke combinatie van maatregelen effectief is, veel complexer is dan op basis van de klassieke theorie wordt verondersteld.
Belang van alignment
De klassieke theorie van Starreveld geeft referentiemodellen voor verschillende typen huishoudingen en processen. De overeenkomsten van de huishoudingen en processen staan hierbij centraal. Wetenschappelijke onderzoeken in andere vakgebieden gaan nader in op de oorzaken van verschillen tussen organisaties. Contingentieonderzoek geeft hierbij bijvoorbeeld aan dat de mate van onzekerheid een bepalende factor is of organisaties meer een mechanische, hiërarchische structuur hebben of dat zij juist op een organische en een meer decentrale wijze worden gestructureerd. Naast onzekerheid zijn factoren zoals strategie, macht, leiderschapstijl, cultuur, bedrijfstak en aanwezige kerncompetenties van belang voor de wijze van beheersing van organisaties.6 Niet alleen de invloed van deze factoren maar ook de onderlinge samenhang, vaak aangeduid met de term alignment, van deze factoren speelt een belangrijke rol in de sturing en beheersing van organisaties. De aanwezigheid van een zeer autocratische leider, in een gedecentraliseerde organisatie, zal zeker effect hebben op de invloed van ‘the tone at the top’ op het gedrag van de decentrale managers, wellicht zelfs op de rechtmatigheid van de onkostendeclaraties. In aanvulling op de klassieke theorie is er daarom een behoefte om met meer factoren en de samenhang hiertussen rekening te houden. Voor het bepalen van welke mix van beheersingsmaatregelen in specifieke situaties effectief is, schiet alleen inzicht in de typologie en de processen tekort.
Aandacht voor complexere organisatievormen
De opgaven die worden gehanteerd vanuit een meer klassieke optiek van AO kennen vaak een eenvoudige functionele organisatievorm. Het oefe-
Noot
Noot
5. Zie bijvoorbeeld Vaassen, 2007, Compliance: research opportuni-
6. Zie bijvoorbeeld Van de Ven, 2008, Interne Beheersing – Het Rabbit Hill
ties in internal control, MCA, maart.
Model.
MCA: december 2010, nummer 6
31
nen met het beschrijven en uitwerken van beheersingsmaatregelen en processen in minder complexe organisatievormen is vaak al een moeizame opgave gezien de hoeveelheid tijd die dit vergt. De complexiteit van de verschillende invloedsfactoren waaraan organisaties blootstaan, leidt ertoe dat de organisaties in de praktijk veel complexere structuren hebben dan de organisaties uit de AOboekjes. En deze andere structuren leiden vaak tot specifieke aanpakken. Zo zijn er op het gebied van het beoordelen van de beheersingsmaatregelen bij samenwerkingsverbanden de ISAE 3402-verklaringen, vroeger bekend als SAS 70-verklaringen. De complexere organisatievormen leiden tot een andere mix van beheersingsmaatregelen. Zo is in de functionele organisatievorm het toepassen van bijvoorbeeld controletechnische functiescheiding eenvoudiger en effectiever dan in een organisatie gebaseerd op ‘high performing teams’. Het combineren van beschikkende en bewarende verantwoordelijkheden kan in dergelijke organisaties bedrijfseconomisch wenselijk zijn, waarbij de betrouwbaarheid van informatie op basis van andere maatregelen moet worden geborgd.
Meenemen van verandermanagement
Bij de klassieke AO ligt de nadruk op het beschrijven van de gewenste situatie. Het zeggen hoe het moet, leidt echter niet automatisch tot de gewenste situatie. Problemen met betrekking tot het bereiken van een bepaalde gewenste situatie leiden tot aandacht voor verandermanagement. Hierbij zijn twee hoofdstromingen te onderkennen: de ontwerpbenadering en de ontwikkelingsbenadering.7 Op basis van de ontwerpbenadering wordt allereerst een ontwerp gemaakt dat vervolgens wordt geïmplementeerd. Deze benadering sluit goed aan bij de klassieke AO. In de ontwikkelingsbenadering komen veranderingen meer iteratief en door middel van samenwerking met de medewerkers tot stand. Een dergelijk veranderproces ondersteunt het leren van en in organisaties, en leidt tot meer integratie van veranderingen in de dagelijkse bedrijfsvoering. Het bespreken van bijvoorbeeld de huidige situatie in de vorm van aanwezige risico’s en de getroffen combinatie van
beheersmaatregelen ondersteunt een dergelijk proces meer dan het beschrijven van de uiteindelijke nieuwe situatie.
Informatietechnologie als uitgangspunt
De laatste factor is de invloed van IT op de AO. Professor Hartman8 zei al in 1992 dat informatietechnologie al te lang als ‘Fremdkörper’ werd behandeld. Administratieve Organisatie zonder IT is in de dagen van iPads, cloud computing en sociale netwerken bijna niet meer voor te stellen. De effectiviteit van beheersingsmaatregelen zal daarom bijna altijd afhankelijk zijn van de wijze waarop deze zijn geïntegreerd in de aanwezige informatietechnologie. Dit betekent niet dat vele basisprincipes uit de klassieke theorie niet meer toepasbaar zijn, maar juist het benadrukken dat de effectiviteit van de uitwerking afhangt van de wijze van uitwerking in de geautomatiseerde omgeving. De nieuwe technologie biedt echter ook mogelijkheden. Open standaarden zoals xBRL maken de kans op fouten bij het rapporteren kleiner. Bovendien bieden ze mogelijkheden om in de taxonomie aandacht te geven aan controles die al aan het begin van het proces van verzamelen van de gegevens kunnen worden uitgevoerd.9
Consequenties
In dit artikel zijn zeven omstandigheden benoemd waardoor het vakgebied AO door de jaren heen is veranderd. Indien de scope beperkt blijft tot betrouwbare informatie, zullen de wijzigingen dichtbij het gedachtegoed van Starreveld blijven. Maar ook voor het waarborgen van de betrouwbaarheid van informatie zijn aanvullingen op de klassieke theorie nodig. De introductie van de Sarbanes Oxley-wet heeft geleid tot het meer werken vanuit een risico-invalshoek met key-controls, vaak gecombineerd met software waar procesbeschrijvingen worden gecombineerd met de risicobenadering. Maar met name de uitbreiding van de scope van het vakgebied leidt tot een geheel andere invulling van het vakgebied. Het verbreden vande
Noten 8. W. Hartman, 1992, Organisatie van de Informatieverzorging, tweede druk, pp. 18.
Noot
9. In de oratie van Verkruijsse (Bestuurlijke Informatieverzorging: na het ‘sin-
7. Z ie bijvoorbeeld Van de Nieuwenhof, 2005, De taal van verandering – veranderen in een dialoog, pp. 173-176.
32
MCA: december 2010, nummer 6
gularity point’ een nieuwe glanzende toekomst?) uitgesproken op 15 oktober 2010 wordt nader op deze mogelijkheden ingegaan.
‘AO zonder IT is in de dagen van iPads bijna niet meer voor te stellen’ scope van AO tot bijvoorbeeld Enterprise Risk management (ERM) sluit aan bij de hedendaagse ontwikkelingen en discussies en de ontwikkelde best practices zoals COSO ERM en ISO 31000. Maar de verbreding van het vakgebied heeft ingrijpende consequenties. Er zal dan ook aandacht moeten worden besteed aan bijvoorbeeld de ethische aspecten van de bedrijfsvoering, risicobereidheid van organisaties en de beperkingen, grenzen en tekortkomingen van formele systemen. Deze factoren spelen immers een belangrijke rol bij het inrichten en beoordelen van risicomanagement. Om de genoemde veranderingen het hoofd te bieden schiet, zoals de genoemde voorbeelden aange-
ven, de klassieke AO-theorie tekort. In het artikel zijn de richtingen benoemd waarmee de klassieke theorie van Starreveld kan worden aangevuld en verrijkt. De klassieke theorie is hierbij zeker een inspirerend voorbeeld om de rijke traditie voort te zetten, de veranderende opvattingen te bundelen en zo te komen tot een AO nieuwe stijl. Prof.dr. Arco van de Ven RA is hoogleraar Bestuurlijke Informatievoorziening aan TiasNimbas de Business School van de Universiteit van Tilburg en hoogleraar Controlling en directeur van de Financial Controller (FC) en Assistent Controller (CAC) opleidingen aan de Open Universiteit Nederland.
MCA: december 2010, nummer 6
33