slogan: PLATFORM VOOR PUBLIC GOVERNANCE, AUDIT & CONTROL

Invoering van systeemtoezicht

Invoering van systeemtoezicht

18 maart 2015 om 17:14 door Remco Bosma en Arie Molenkamp 0 reacties

Waarom worden organisaties die nog nauwelijks maatregelen hebben getroffen om systeemtoezicht te realiseren door een certificerende instantie geaccepteerd? Uit onderzoek blijkt immers dat bij gebrek aan een systeemgerichte benadering het creëren van toegevoegde waarde nauwelijks mogelijk is. In dit artikel tonen de auteurs aan welke weerstand versterkende factoren mogelijk impliciet zijn verbonden aan de transformatie van verticaal naar horizontaal toezicht en op welke wijze de systeemtoezichthouder daarop zou kunnen anticiperen.

Waarom worden organisaties die nog nauwelijks maatregelen hebben getroffen om systeemtoezicht te realiseren door een certificerende instantie geaccepteerd? Uit onderzoek blijkt immers dat bij gebrek aan een systeemgerichte benadering het creëren van toegevoegde waarde nauwelijks mogelijk is. In dit artikel tonen de auteurs aan welke weerstand versterkende factoren mogelijk impliciet zijn verbonden aan de transformatie van verticaal naar horizontaal toezicht en op welke wijze de systeemtoezichthouder daarop zou kunnen anticiperen.

In twee eerdere artikelen1,2 hebben wij de voorwaarden beschreven waaraan het ‘horizontale’ managementsysteem moet voldoen om zich over dat systeem, in het kader van systeemtoezicht, te kunnen verantwoorden. Het gaat daarbij slechts om een beperkt aantal voorwaarden die eenvoudig zijn door te voeren. Het is dan verbazingwekkend te constateren dat onderzoek aantoont dat deze noodzakelijke voorzieningen niet of nauwelijks worden getroffen.
Natuurlijk is ‘controleweerstand’ een veel voorkomend verschijnsel. Maar de insteek om niet meer de activiteiten maar de interne management(control)systemen als inspectieobject te hanteren, is juist bedoeld om zo dicht mogelijk bij de essentie van het systeem te blijven; te weten: de doelstellingsrealisatie op basis van de bedrijfseigen processen. Dat zou dus geen weerstand bij het verantwoordelijke management moeten oproepen. In de praktijk is dat geenszins het geval; een verklaring daarvoor is misschien dat juist die nieuwe benadering laat zien dat veel zaken nog niet op orde zijn.

In het derde3 en voorgaande artikel over de eerste ervaringen met horizontaal (systeem)toezicht merkten wij onder meer op dat veel organisaties die zich laten certificeren, nog nauwelijks maatregelen hebben getroffen om systeemtoezicht te realiseren. Dit roept niet alleen de vraag op waarom een dergelijke organisatie door een certificerende instantie überhaupt wordt geaccepteerd; het is ook niet duidelijk waarom juist die organisatie blijvend vasthoudt aan een vorm van intern toezicht die activiteitgericht is. Dit, terwijl onderzoek4 aantoont dat bij gebrek aan een systeemgerichte benadering, het creëren van toegevoegde waarde nauwelijks meer mogelijk is.

In dit artikel beschrijven we de achterliggende oorzaken van deze in de praktijk gegroeide situatie.

Eisen aan organisatievolwassenheid
De invoering van systeemtoezicht houdt vooral in dat hoge eisen worden gesteld aan de mate van volwassenheid van de betreffende organisatie; naar onze mening een consequentie van het gebruik van het containerbegrip ‘systeem’. Dit begrip oogt als een onschuldig bedrijfskundig instrument, waarvan de organisatie desgewenst gebruik kan maken. Niets is minder waar. Bij het ontwikkelen van effectief intern (horizontaal) toezicht dient men zich te bedienen van de beproefde systeemleer om een management(control)systeem ook daadwerkelijk effectief te kunnen inrichten. Tenslotte is dat systeem van interne beheersing juist het object waarover de toezichthouder zich, in het kader van het nieuwe systeemtoezicht, een oordeel gaat vormen. De visie op dat interne toezicht en de wijze waarop het verantwoordelijke management die aanpak gaat operationaliseren, dient intern tot een zodanige minimale uitwerking te leiden dat normconform handelen wordt geborgd. Het systeem en de organisatie worden bij systeemtoezicht als een ineengeschoven geheel beschouwd.
De invoering van het vaak als abstract ervaren systeemtoezicht beïnvloedt dus in hoge mate direct de mensen, die in de onder toezicht staande organisatie werken. Zoals bekend leiden organisatieveranderingen veelal tot weerstand; dat een dergelijk fenomeen zich in zekere mate ook bij de invoering van systeemtoezicht manifesteert, lijkt hiermee te zijn verklaard.

Het doel van het management(control)systeem is dat de onder toezicht staande organisatie met succes blijvend kan voldoen aan zowel haar eigen normenkader als aan de vereisten die door toezichthouders worden gesteld. Om als management die verantwoordelijkheid te kunnen dragen dient men zich ervan te overtuigen dat het systeem up-to-date is. Daarom moet het management ten volle zijn aangesloten op de ontwikkelingen zoals die zich op de werkvloer voordoen; de volgende controles in procedures en systemen dienen daartoe te zijn ingebouwd:

  • Een kwaliteitstoets op het niveau van de ingebouwde controlemaatregelen en het functioneren daarvan binnen het productieproces, met als doel om vast te stellen dat het (eind)product voldoet aan de door de topleiding gestelde kwaliteitseisen. Deze toets wordt uitgevoerd door de (kwaliteitscontrole)medewerkers van de betrokken productieafdeling.
  • Een kwaliteits- en kwantiteitstoets op het niveau van het afdelingsmanagement, zodat vastgesteld kan worden dat de beoogde productie in kwalitatieve en kwantitatieve zin wordt gerealiseerd. Deze (zelf)toets wordt uitgevoerd door de verantwoordelijke manager.
  • Een onderzoek naar de adequate toepassing van de bovenstaande kwaliteits- en kwantiteitstoetsingen, waarin tevens wordt meegenomen in hoeverre de in die kwaliteits- en kwantiteitstoets opgenomen normenkaders nog aansluiten bij de uitgangspunten van het topmanagement. Dit onderzoek wordt uitgevoerd door de controller.
  • Een op basis van vastgestelde risico’s uit te voeren onderzoek naar de inrichting en werking van de organisatorische infrastructuur, in relatie tot de daartoe door de ondernemingsleiding geformaliseerde regelgeving. Dit onderzoek wordt uitgevoerd door de internal auditor.
  • Een onderzoek naar de adequate invulling en toepassing van de vier voorafgaande controlepunten door de certificerende instelling. Strikt genomen maakt een dergelijk onderzoek geen deel uit van het systeem van intern toezicht op de kwaliteit van management control, maar een dergelijk onderzoek geeft de stakeholders wel additionele zekerheid over de kwaliteit van de interne beheersing.


Activiteitgeborgde organisaties
Een organisatie die opereert in een stabiele markt met een eenduidig product dat tevens voldoet aan de behoeften van de klant kan, qua managementcontrol, volstaan met een reactieve periodieke terugkoppeling. Kwaliteit vindt in deze benadering haar invulling door het hoge vakmanschap of door het excelleren in professionaliteit van haar medewerkers. Een dergelijk type organisatie, dat qua productassortiment en qua afdelingsopbouw tamelijk complex is ingericht, ontbeert echter de voorwaarden voor het implementeren van een effectief systeem van integrale managementcontrol. De activiteitgeborgde benadering betekent dat de focus van de controlepunten exclusief is gevestigd op werkzaamheden binnen een bepaalde afdeling. Die benadering biedt nauwelijks mogelijkheden om met die werkzaamheden samenhangende veranderingen buiten de betrokken afdeling op het spoor te komen, te diagnosticeren en te verdisconteren. Het ontbreekt aldus aan een verbindend proces dat de losstaande activiteiten in een samenvattend kader weet te plaatsen, zodanig dat de losstaande activiteiten niet blijvend suboptimaal presteren, doch mede gaan bijdragen aan de realisatie van de beoogde overall organisatiedoelstellingen.

Procesgeborgde organisaties
Procesborging is pas mogelijk indien het management bij het vormgeven van managementcontrol redeneert vanuit het gemeenschappelijke eindproduct en daarbij de interne organisatie zodanig aan- en bijstuurt dat in gezamenlijkheid aan dat uitgangspunt kan worden gewerkt.
Zo’n aanpassing kan pas tot stand komen nadat de interne discussie over de samenhang tussen de verschillende activiteiten heeft plaatsgevonden en de afzonderlijk te leveren bijdragen zijn benoemd. Ook dienen vooraf de onderlinge verwachtingen over wat tot stand moet worden gebracht te worden uitgesproken. Voor de klant behoort bijvoorbeeld ‘aftersales’ net zo goed bij de definitie van het product als het intrinsieke kenmerk ‘levensduur’. Juist de bovengenoemde interne discussie dwingt management en medewerkers ertoe om het abstracte begrip ‘kwaliteit’ inhoud te geven. Dit is geen eenmalig proces; het is een gegeven dat de organisatie bij voortduring op haar omgeving zal moeten anticiperen. Dit heeft implicaties voor bestaande werkwijzen teneinde continu garant te kunnen staan voor het voldoen aan de overeengekomen en veranderende klantwensen. Deze afstemming en discussie over de interne samenhang en de wijze van communicatie en interventie daarover zal periodiek moeten worden herhaald. Door die continue samenspraak vormt zich een leer- en verbetercyclus; het resultaat van een ontwikkelingsproces dat volgens de theorie5 noodzakelijk is om een antwoord te vinden op de eisen die van een op de omgeving afgestemde organisatiestructuur mogen worden verwacht.

Systeemgeborgde organisaties
De essentie van procesborging is dat het de organisatie zelf het noodzakelijke inzicht biedt in de herkomst van afwijkingen, zodat de oorzaak van verstoringen structureel kan worden aangepakt. Voor de toezichthouder die gaat steunen op deze bedrijfseigen procesinrichting is er nog geen sprake van een systeembenadering. De procesgeborgde organisatie is weliswaar bezig om haar kwaliteitsperformance te verbeteren, maar het ontbreekt haar aan een methode om de procesinrichting, alsmede de leer- en verbetercyclus, blijvend integraal en breed in de organisatie te borgen. Het borgen van de procesvoering alsmede het implementeren van een leer- en verbetercyclus vindt plaats langs een tweetal sporen.

  • Het eerste spoor bestaat eruit dat de op de eindproducten georiënteerde processen worden onderkend, in hun onderlinge samenhang in kaart worden gebracht en worden geformaliseerd.
  • Het tweede spoor bestaat uit het periodiek toetsen of alle betrokken zich wel houden aan hetgeen is overeengekomen en vastgelegd. Maar ook of de kaderstellingen nog wel aansluiten bij mogelijk gewijzigde organisatiedoelstellingen dan wel bij de omstandigheden waarin de organisatie zich op dat moment bevindt.

Indien beide sporen worden gedocumenteerd en het verkregen inzicht uit het tweede spoor leidt tot actualisatie van het eerste spoor, ontstaat een handboek dat aansluit bij de gewenste uitvoeringspraktijk.

Interacties completeren de integrale systeembenadering
Alleen een handboek, hoe actueel ook, heeft nog steeds geen sturende werking; eerst nadat het management de in de handboeken gestolde normen feitelijk gaat hanteren bij het aan- en bijsturen van de organisatie ontstaat een integrale en kwalitatieve bedrijfsvoering. Binnen dit nastreefbare concept van integrale systeembenadering kunnen de volgende interacties worden onderscheiden:

  • De overeengekomen normering, zoals de na te streven producteigenschappen en de eisen waaraan de procesbeschrijvingen moeten voldoen, worden door het verantwoordelijke management integraal toegepast. Daar waar dat niet aan de orde is, zal het topmanagement daarover via interne controle- en auditrapportages worden geïnformeerd.
  • De normering qua eigenschappen van het product blijft actueel en realistisch, doordat de verstoringen die zich mogelijk bij de technische uitvoering voordoen door de werkvloer worden gesignaleerd. Dit dwingt tot het herdefiniëren van de producteigenschappen en aanpassing van de procesvoering. Vanzelfsprekend tot op het niveau dat de organisatie nog in staat is om economisch en technisch verantwoord te kunnen leveren. Zodra de gevraagde producteigenschappen niet of niet geheel worden gerealiseerd dient het topmanagement daarvan middels in control statements op de hoogte te worden gesteld. Het topmanagement kan vervolgens maatregelen treffen dan wel vaststellen dat normafwijkingen onvermijdelijk zijn.
  • De aansturing van het proces door de proceseigenaar leidt zowel tot rapportages over de gerealiseerde productie in de betreffende periode als tot opmerkingen over mogelijke aanpassingen die in de beschreven en gehanteerde werkprocessen moeten worden aangebracht. Het middle-management wordt geacht in haar in control statements dergelijke informatie op te nemen, zodat het topmanagement maatregelen kan treffen om te blijven voldoen aan de leveringsverplichtingen zoals die door de afdeling verkoop met de klanten zijn overeengekomen. Mogelijke verstoringen in deze procedures en de daarmee samenhangende transactieverwerking zullen aan het licht komen door de respectieve onderzoeken van interne controlefunctionarissen, kwaliteitsmedewerkers en internal auditors.


De toepassing van de systeemleer en het functioneren van de beoogde leer- en verbetercyclus binnen de organisatie zullen afdoende moeten bijdragen aan de kwaliteit van beheersbaarheid, effectiviteit en doelmatigheid van de organisatie. Daarmee kunnen de verwachtingen van het topmanagement over de te volgen strategie, de te leveren prestaties, de te respecteren wetgeving en het begrote financieel rendement worden gerealiseerd. Een complex aan afwegingen dat vooral ook deel uitmaakt van een door de toezichthouder uit te voeren systeemgerichte inspectie naar de horizontale beheersing van het systeem van managementcontrol.
Bovengenoemde interacties zorgen ervoor dat tegengestelde belangen en onderling strijdige criteria, bijvoorbeeld doorlooptijd versus productkwaliteit, zichtbaar worden gemaakt, zodat er een juiste balans in het geheel aan beheersingsmaatregelen kan worden gebracht. Door het verdisconteren in het interne overleg- en besluitvormingsproces van de informatie die uit de controle- en auditrapportages naar voren komt, ontstaat een geheel van in elkaar grijpende en elkaar in evenwicht houdende verbanden. Het systeem is geboren! Interne controle maatregelen, de zogenaamde checks and balances, leveren de noodzakelijke informatie die een wezenlijk deel gaat uitmaken van planning & controlcyclus.
Met deze implementatie wordt tevens bereikt dat het gedrag van de organisatie een zeker voorspellend karakter krijgt (zie figuur 1). De organisatie is aanbeland in een volgend stadium van organisatievolwassenheid: de systeemgeborgde organisatie.

Organisatievolwassenheid impliceert managementbetrokkenheid
Het integraal toepassen van de systeemleer bevordert in hoge mate de volwassenheid van het organisatiesysteem. Het criterium organisatievolwassenheid wordt niet alleen bepaald door het toenemen van de kwaliteit van de interne beheersing. Het draait vooral ook om de stijl van leidinggeven, en alsmede om de betrokkenheid en de dominante positie van het (top)management. De ondernemingsleiding kan bijvoorbeeld niet meer volstaan met de verklaring, in een beleidsdocument, dat het management beweert te streven naar een kwaliteitsbewuste organisatie. Het sturen op een breed kwaliteitsbegrip als organisatievolwassenheid impliceert vooral een aanzienlijke doorontwikkeling van het management(control)systeem. Ook de periodiek te houden managementreview, wil deze niet uitmonden in een verplicht nummer ter verkrijging van het certificaat, zal gericht moeten zijn op de feitelijke kwaliteit van managementcontrol. Daarbij gaat het zowel om de interne performance als om de mate waarin de organisatievolwassenheid zich verhoudt tot datgene dat binnen de branche gebruikelijk is. Om vorderingen te kunnen maken in het bereiken van een zeker niveau van organisatievolwassenheid, dient de ondernemingsleiding het middle-management direct te betrekken bij het proces van interne beheersing. Het topmanagement kan daartoe gebruik maken van methoden als kwaliteitscirkels of control self assessment (CSA). De toezichthouder zal zich mede gaan baseren op dit systeem van evaluatie en feedback; daarmee vaststellend of de feitelijke structuur en cultuur van leiding geven zich verhoudt tot het gedefinieerde, integrale management(control)systeem. We zijn van mening dat de graad van organisatievolwassenheid in principe gelijke tred houdt met de ontwikkeling van de interne beheersing (zie figuur 2).

Of de feitelijke fase van organisatievolwassenheid in een bepaalde situatie afdoende is, hangt ook af van de ambities zoals die bijvoorbeeld uit de begroting blijken. In de praktijk komt het nog wel eens voor dat een organisatie aan een project begint dat ‘een maatje te groot is’. Dan is de interne organisatie bijvoorbeeld onvoldoende in staat om te gaan met de veranderingen die in de projectomgeving optreden; in onze termen betekent dat een te laag niveau van organisatievolwassenheid. Bij het toepassen van een vorm van risicomanagement, waarbij er minimaal sprake is van een systeemgeborgde organisatie, mag men verwachten dat door de ingebouwde checks and balances dergelijke onvolkomenheden in de aansturing al eerder aan het licht komen door maatregelen op het gebied van zelfevaluatie, kwaliteitscontrole en internal audit.

Waarom uitstel transitie?
In het voorafgaande artikel kwam naar voren dat veel onder toezicht staande organisaties wel waren gecertificeerd, maar dat de inrichting van hun organisatie desondanks nog steeds activiteitgericht was. Ook bleek dat management(control)systemen nauwelijks waren uitgewerkt, dat producteisen niet waren gedefinieerd en dat processen niet traceerbaar waren. Het moge duidelijk zijn dat het in die situaties onduidelijk blijft in hoeverre de te beoordelen activiteiten bijdragen aan het realiseren van de organisatiedoelstellingen. Er is in feite sprake van een black box. Dit gebrek aan transparantie bedreigt op langere termijn het voorbestaan van de organisatie; het management heeft immers nauwelijks mogelijkheden om integraal te sturen.

De interessante en cruciale vraag blijft waarom het management haar instrumentarium niet verder ontwikkelt. Men mag toch veronderstellen dat de ondernemingsleiding er alle belang bij heeft om over een effectief systeem van managementcontrol te kunnen beschikken. Maar mogelijk houdt dat management, vanuit een gebrek aan betrokkenheid dan wel uit een oogpunt van opportuniteit, te veel rekening met individuele belangen. Het omvormen van een activiteitgeborgde naar een procesgeborgde organisatie leidt immers voor individuele managers en medewerkers veelal tot een zekere aantasting van de eigen autonomie. De organisatie gaat meer instrumenteel en rationeel werken door de eisen die van hogerhand aan de proceseigenaar worden gesteld om bijvoorbeeld deelprocessen beter op elkaar te laten aansluiten. Dit beperkt vanzelfsprekend de keuzevrijheid van de betrokken afdelingen. In het geval dat de betreffende afdelingsmanager niet meer zelf de proceseigenaar is, verliest die afdelingsmanager daardoor de zeggenschap over een deel van het te verrichten werk. Dat deze statusverlaging gepaard kan gaan met weerstand, is te verwachten. Het niet verlenen van medewerking oogt voor de betrokken afdelingshoofden mogelijk wel als een succes op korte termijn; op de lange termijn is dit gedrag als modus operandi voor de gehele organisatie en ook voor de betrokken leidinggevenden funest. Van een proces, om tot een geoptimaliseerd eindproduct te komen, is dan nauwelijks sprake; het product zal zijn aansluiting met de markt verliezen met het risico dat daarmee het voortbestaan van de organisatie in een concurrerende omgeving (conform het vijfkrachtenmodel van Porter) in gevaar komt. Desondanks kunnen we constateren dat dit gedrag op grote schaal voorkomt, in het bijzonder ook binnen overheidsorganisaties.

Praktijkwaarde certificaat
Zoals eerder vermeld blijkt in de praktijk dat organisaties die feitelijk niet voldoen aan de vereisten die in certificatieschema’s zijn opgenomen, desondanks wel een certificaat verkrijgen. Hierbij komt een belangrijk verschil tussen de wettelijke toezichthouder en een private certificerende instelling naar voren. De overheid vordert zonder meer de informatie, die zij in het kader van haar toezichtstaak noodzakelijk acht. Bovendien is de wettelijke toezichthouder financieel onafhankelijk van de onder haar toezicht staande organisatie. Vanzelfsprekend is ook de private certificerende instelling bij onvoldoende transparantie dan wel kwaliteitsborging gehouden om het certificaat te weigeren. In de praktijk loopt een certificerende instelling in een markt met meerdere aanbieders echter een groot risico; bij het onverhoopt niet afgeven van een certificaat is de kans groot dat een ander de uitdaging wel aangaat.

Certificatieschema’s, vooral die zijn afgeleid van de ISO 9001-norm, bevatten veelal een methodologische beschrijving waarin wordt aangegeven welke controlepunten moeten worden doorlopen; een indeling naar organisatievolwassenheidsniveaus is daarbij niet aan de orde. Deze methodologische aanpak leidt bij de certificerende instelling in de praktijk slechts tot de beoordeling of de controlepunten feitelijk zijn ingericht (opzet en bestaan). Daarmee beperkt men zich onbedoeld tot dat deel dat zich simpel op papier laat vastleggen. Eerder hebben we de conclusie getrokken dat het feitelijke gedrag van het (top)management veel bepalender is; dat moet als ‘inhoud’ herkenbaar zijn in de reguliere planning & controlrapportages. Daarmee kan worden vastgesteld of de ingebouwde controlepunten ook daadwerkelijk een (bij)sturende werking hebben. Met andere woorden er moet een zeker niveau van organisatievolwassenheid zijn bereikt. Deze stelling betekent in de praktijk dat maar een deel van de organisaties ook echt voor certificatie in aanmerking komt.

In organisaties zijn vaak verschillende niet geïntegreerde kwaliteitsdeelsystemen naast elkaar actief; bijvoorbeeld Kwaliteitsmanagement ISO 9001, Milieumanagementsysteem ISO 14001 en Veiligheidsmanagementsysteem OSHAS 18001.

Deze systemen kennen in de praktijk de nodige overlap, terwijl er zelfs sprake kan zijn van tegengestelde normen. Managementsystemen die ter certificatie worden aangeboden zouden door maatregelen van interne beheersing en door internal audits op onderling strijdige kwaliteitsuitgangspunten moeten zijn beoordeeld en aangepast. De vervolgstap, de integratie van de deelsystemen tot een all-in managementsysteem, ligt dan erg voor de hand; hetgeen zou impliceren dat een deel van het productenpakket van de certificerende instelling tussen wal en schip raakt. Dit laatste zou wederom een aanzienlijke verkleining van de markt voor de commerciële instelling kunnen inhouden. In de praktijk blijkt dat de kwaliteitssystemen daarom vaak alleen getoetst worden tot het niveau van bestaan, zodat onderlinge strijdigheid onzichtbaar blijft.

Naast bovengenoemde twee marktverkleiningen bij een adequate toepassing van de theorie blijkt dat er ook een zekere marktbelemmering is, omdat de meeste certificerende instellingen niet alleen gespecialiseerd zijn in een bepaald type managementsysteem maar ook nog eens naar een bepaald type branche. Er is dus sprake van een relatief kleine en afhankelijke markt.8 Tot slot stellen we vast dat er ook maar een beperkt aantal aanbieders van certificerende diensten binnen de markt actief is. De kans is dus reëel dat de afnemers een grote invloed hebben op de omvang en de diepgang van de controles, mede doordat een deel van de potentiële afnemers geen wettelijke plicht tot certificatie heeft. De onafhankelijkheid van de certificerende instantie is weliswaar formeel geborgd via de onafhankelijkheidsverklaring9 die de certificerende partij aan de Raad van Accreditatie dient te overleggen. Dat laat echter onverlet dat het commerciële belang per te certificerende organisatie in de praktijk zodanig groot kan zijn, dat klantenbinding een duidelijke rol speelt.

Wettelijke toezichthouder
De wettelijke toezichthouder heeft er natuurlijk wel belang bij dat er sprake is van een effectieve integratie van de verschillende managementsystemen, ervan uitgaande dat men het toezicht daarop wil gaan baseren. Omdat de normen van de hier bovengenoemde managementsystemen alle methodologisch van opzet zijn, betekent dit ook dat de begrenzing van elk systeem in principe wordt overgelaten aan de onder toezicht staande organisatie. Dit stelt de onder toezicht staande organisatie voor een aantal uitdagingen. Zo is het maar de vraag of en in hoeverre de sectoraal ingestoken managementsystemen überhaupt adequaat kunnen worden geconsolideerd tot één integrale controlverklaring.

Maar ook dient zich de vraag aan hoe bijvoorbeeld de sectoraal uitgevoerde risicoanalyses in een portfolio kunnen worden geplaatst, zodat er inzicht bestaat in een overall risk-appetite. Sectorale systemen bevatten namelijk per definitie geen mechanisme dat waarborgt dat de verkregen stuurinformatie per deelsysteem onderling correleert. Het is evident dat het primaire proces natuurlijk niet in-control kan zijn als enerzijds de producten conform klantspecificaties worden opgeleverd, terwijl anderzijds onrechtmatig wordt omgegaan met bijvoorbeeld de reststoffenverwijdering. Toch kan dit bij een sectorale benadering zeker voorkomen. Het is dan ook niet zonder reden dat het Enterprise Risk Model van de Committee of Sponsoring Organizations of the Treadway Commission (COSO commissie) drie rapportageverantwoordingsgebieden samenhangend in één model heeft opgenomen (Operationeel, Financieel & Compliance).

In het voorafgaande artikel werd al geconstateerd dat een vorm van toezicht op certificerende instanties uiterst wenselijk is, gezien de mogelijke vermenging van belangen. Bij het certificeren gaan we er primair vanuit dat we te maken hebben met goedwillende, kwaliteitsbewuste en leergierige ondernemers die een contract sluiten met een vertrouwenwekkende certificerende instelling. Desondanks is bij handhaving gezond wantrouwen gerechtvaardigd; de ervaring leert dat regels overtreden worden.

Afdwingen verhoging organisatievolwassenheid
Als initiator van systeemtoezicht en tevens toezichthouder heeft de rijksoverheid diverse mogelijkheden om het gedrag van de onder toezicht staande organisaties meer dwingend te beïnvloeden (zie figuur 3). Bij een geconstateerde normafwijking kan de toezichthouder naleving voorschrijven dan wel afdwingen. In niet alle gevallen bestaat daarvoor echter een wettelijke grondslag. Ook in het geval van de transitie van verticaal naar horizontaal toezicht dienen we ons goed te realiseren dat dit vooral voortkomt uit de ambitie van de rijksoverheid. De wet beschrijft in de meeste gevallen namelijk hoogstens voor welke inhoudelijke, activiteitgerichte gegevens door de organisatie aan de toezichthouder dienen te worden verstrekt, zodat er medewerking nodig is van de onder toezicht staande organisatie om inzicht te verkrijgen in de mate van procesbeheersing waarmee systeemtoezicht zo nadrukkelijk wordt gevoed.

Soms kan de toezichthouder via de reguliere actualisatie van de vergunningsvoorwaarden extra voorwaarden opnemen, zodat systeemtoezicht contractueel alsnog kan worden geregeld, eventueel via het aanbod om andere voorwaarden buiten gebruik te stellen (figuur 3; beheren). Een andere mogelijkheid om horizontaal toezicht te bevorderen is om de implementatie van systeemtoezicht te koppelen aan subsidievoorwaarden dan wel dat belastingvoordelen in het vooruitzicht worden gesteld (figuur 3; verdelen).
In bepaalde gevallen beschikt de wetgever wel over een adequaat wettelijk kader en lijkt het afdwingen (forceren) van naleving voor de hand liggend. De praktijk is echter vaak weerbarstig, omdat bepaalde (technologische) ontwikkelingen mogelijk nog moeten plaatsvinden om naleving conform het gestelde te kunnen afdwingen (bijvoorbeeld: dataloggers gekoppeld aan GPS-systemen in leaseauto’s voor de registratie van privé-/zakelijke kilometers door de Belastingdienst). In dat geval is de toezichthouder gehouden om te trachten de noodzakelijke veranderingen te initiëren en te stimuleren (rechtsboven figuur 3) dan wel te forceren (linksboven figuur 3). Dat geldt in het bijzonder als de maatschappelijke noodzaak daartoe wordt ervaren. Deze actieve opstelling is te prefereren als de betreffende instelling of bedrijf overwegend sterk afwijkt van de heersende maatschappelijke moraal dan wel dat de maatschappelijke verontwaardiging over de organisatie groot is. Een voorbeeld daarvan is de plotselinge invoering van de Sarbanes-Oxley Act als gevolg van de fraude zaak bij de Amerikaanse energiegigant Enron.

De meewerkende overheid
In de praktijk van het toezicht zijn de meeste doelgroepen heterogeen van samenstelling en kan, of moet zelfs, een gedifferentieerde aanpak worden toegepast. De onder toezicht staande organisaties die voorop willen lopen bij het voldoen aan de maatschappelijke uitgangspunten, aangemerkt als koploper in figuur 4, kunnen bij de aanpassing van hun organisatie ondersteund worden vanuit de toezichthoudende overheid. Hierdoor ontstaat een zekere win-winsituatie; de koplopers ontwikkelen naleefbare concepten mede op kosten van de overheid en de toezichthouder verkrijgt bewijs dat naleven conform de nieuwe uitgangspunten mogelijk is. De toezichthouder kan dit praktijkbewijs vervolgens gebruiken als actuele nalevingsreferentie voor de nader te definiëren middengroep.10 Uiteraard is daarmee de noodzaak voor de ondersteuning vanuit de overheid voor de implementatie van de nieuwe norm door de middengroep aanzienlijk afgebouwd. Deze middengroep kan immers steunen op de best practices van de koplopers.

Uiteindelijk zal de opstelling van de toezichthouder in haar benadering van de achterblijvers sterk veranderen. De achterblijvers hebben zich, door het uitstellen van aanpassingen, immers buiten de overwegende mores van de doelgroep geplaatst. Het gevolg is dat de overige leden van de doelgroep in dit geval sancties van de toezichthouder verlangen. De implementatie van de maatschappelijke uitgangspunten binnen de doelgroep is daarmee (bijna) een feit.

Leiderschap transitie?
In het voorafgaande hebben we de methode beschreven om de onder toezicht staande organisatie te laten voldoen aan de vereisten van het systeemtoezicht, te weten het kunnen beschikken over een systeemgeborgde organisatie. Het is goed om ons te realiseren dat het voldoen aan deze vereisten in principe ook geldt voor de toezichthouders die zich bezighouden met systeemtoezicht. Hoe verbindt een toezichthouder informatie11 die bijvoorbeeld afkomstig is uit een domein als milieutoezicht (lekkende tanks, ondanks milieumanagementsysteem) met de informatie die afkomstig is uit een ander domein als het veiligheidstoezicht (kwaliteitstoetsing Fyra), waarbij er in beide gevallen twijfel is over het functioneren van dezelfde certificeerder in dat laatste geval was er zelfs mogelijk sprake van een ‘dubbele pet’, doordat de certificeerder voor zowel de opdrachtgever als opdrachtnemer de kwaliteitstoetsing verrichtte. Trends die de toezichthouder zou kunnen samenstellen vanuit meerdere resultaatgebieden, vereisen nu eenmaal minimaal een procesgeborgde organisatie die deze afzonderlijke activiteiten weet te verbinden.

In het voorafgaande artikel is duidelijk gesteld dat de inzet van de systeemtoezichthouder beperkt is; de focus op systeemtoezicht lijkt daarbij mede ingegeven door een ambitie om het toezicht minder arbeidsintensief te maken. Het vereist een meer actieve rol van de toezichthouder om binnen een totale doelgroep systeemtoezicht toch mogelijk te maken. Dat betekent immers transitie naar een hoger niveau van organisatievolwassenheid binnen de gehele doelgroep. De systeemtoezichthouder zou dan kunnen gaan optreden als proceseigenaar van het transitieproces; een actieve rol die strijdig lijkt te zijn met het motief van de overheid om juist door de invoering van systeemtoezicht meer op afstand te willen gaan staan. Tevens dient de vraag zich aan of de investering in het bereiken van de noodzakelijke minimale niveau van organisatievolwassenheid bij alle onder toezicht staande organisaties een reële optie is ten opzichte van de te realiseren besparing bij de toezichthouder, indien deze de overstap van producttoezicht naar systeemtoezicht maakt.

Slotbeschouwing
In deze reeks van vier artikelen over (interbestuurlijk) systeemtoezicht menen we duidelijk te hebben gemaakt, dat dit toezicht een zeer verfijnd mechanisme omvat, nodig om vast te stellen of de overeengekomen doelstellingen zijn gerealiseerd.

Bij systeemtoezicht zijn diverse managementniveaus en actoren van de doelorganisatie betrokken. Dit betekent dat de kans op omissies dan wel bewuste malversaties in de opzet, het bestaan en de werking van het systeem niet zijn uit te sluiten. Dit realiserende kan geconcludeerd worden dat een geforceerde invoering van systeemtoezicht niet mogelijk is; alleen als de onder toezicht staande entiteiten intrinsiek gemotiveerd zijn om permanent te verbeteren is er mogelijk een basis voor het toepassen van systeemtoezicht. Dan nog is een zekere gereserveerdheid bij de toezichthouder nodig en kan niet direct worden gesteund op de informatievoorziening die via systeemtoezicht wordt verkregen. Niet voor niets behoren de reality-checks een onderdeel te zijn van de checks and balances. Deze bieden de noodzakelijke tegenkracht om de betrokken actoren te dwingen het langetermijnbelang van de organisatie te dienen, alsmede een voor systeemtoezicht gewenste rolopvatting te laten aannemen. Ook de overheid zal dan een bepaald niveau van organisatievolwassenheid moeten bereiken; niet alleen vanuit een voorbeeldfunctie, maar ook omdat eigen ervaring noodzakelijk is om goed inzicht te krijgen in de verfijnde inrichting en werking van het systeemtoezicht.

Ir. Remco Bosma (r.bosma11@kpnplanet.nl) is lid van de Provinciale Staten van Flevoland en werkzaam als senior auditor bij de overheid. Arie Molenkamp (www.publicauditing.nl) is organisatieadviseur, auteur en opleider.

Noten
1 Bosma, R., A. Molenkamp, ‘lnterbestuurlijk toezicht op afstand? Deregulatie vereist betere sturing op lokaal niveau’, Tijdschrift voor Public Governance, Audit en Control, jaargang 8, nummer 3, juni 2010, pagina’s 24 t/m 29. april 2013 pp. 19-21.
2 Bosma, R., A. Molenkamp, ‘Naar een geloofwaardige interbestuurlijke verantwoording, terugtredende rijksoverheid verwacht transparante taakuitvoering’, Tijdschrift voor Public Governance, Audit en Control, jaargang 9, nummer 3, juni 2011, pp. 36-42.
3 Bosma, R., A. Molenkamp, ‘Van verticaal naar horizontal toezicht’, Tijdschrift voor Public Governance, Audit en Control, jaargang 11, nummer 4, augustus 2013, pp. 4-12.
4 Goldratt, E.M., Het doel – Een proces van voortdurende verbetering, Spectrum, 23ste druk, juni 2007.
5 Hardjono, T.W., Bakker, R.J.M., Management van processen. Identificeren, besturen, beheersen en vernieuwen, Kluwer, 3e druk, 2006.
6 Hartog, P.A., A. Molenkamp, J.H.M. Otten, Kwaliteit van Administratieve Dienstverlening, Managen is integreren, Kluwer bedrijfsinformatie, eerste druk, 1998.
7 PWC accountantsverslag 2012, ‘Grip op financiële positie, Accountantsverslag voor provincie Flevoland’, 12 april 2013, pp.19 -21.
8 Naast de accreditatie voor het betreffende systeem is ook de ervaring met de specifieke branche een selectiecriterium in de praktijk om diensten aan te kunnen bieden, zie ook: http://www.isoregister.nl/certificatie-instellingen.html.
9 Zie ISO/IEC 17020 First edition 1998-11-15, General criteria for the operation of various types of bodies performing inspection, article 4.2 Independence: The inspection body shall be independent to the extent that is required with regard to the conditions under which it performs its services.
10 Bosma, R., E. de Buijzer, R. Hoorman, ‘Vergunningverlening en handhaving onderdeel groter geheel – Van saneren naar beheren’, H2O tijdschrift voor waterbeheer en watervoorziening, nr. 6, 36ste jaargang, 31 maart 2003, pp. 36 en 37.
11 Zie www.nu.nl: ISO keurde functioneren Odfjell goed, 2 augustus 2012, en: Dubieuze rol Lloyd’s rond Fyra, 17 juni 2013.

Sluiten