Beperk beheersing, bouw vertrouwen

Beheersing alias ‘control’, dat is waar het in de functie van de controller om draait. Elke organisatie krijgt het systeem van interne beheersing dat zij verdient. Zo niet, dan zorgt de controller daarvoor, om de organisatie te helpen haar doelen te realiseren. Maar in hoeverre ‘past’ het streven naar beheersing zelf in deze tijd, in de Nederlandse context, met name in de publieke sector? Is er een alternatief?

Verplichte kost voor accountants en controllers zijn de COSO-raamwerken voor interne beheersing (2013) en risicomanagement (2004). Daarin is beheersing gerelateerd aan risico’s en zijn risico’s gebeurtenissen die het realiseren van doelen in de weg staan. Soms worden ook kansen en het missen van kansen in de risicoanalyse betrokken. 

Het perverse effect van besturen en beheersen

Het vak Bestuurlijke Informatie Verzorging, waarin risicoanalyse aan de orde komt, gaat echter vooral uit van een negatieve beheersingsbenadering. Accountants en controllers zijn vanuit die optiek vooral gericht op het voorkomen van negatieve gebeurtenissen. Van de Ven (2009) kiest en pleit daar ook bewust voor als onderscheidend voor zijn vak en passend bij het beroep van accountant.

Vanuit zijn Management Accounting en Control perspectief heeft Vosselman het in lezingen over (totale) beheersing als fantasie, en over risicomanagement dat zelf een risico wordt als het op zichzelf komt te staan. Ook in zijn oratie in december 2011 kiest hij een uitgesproken kritisch perspectief op de dominantie van het ‘besturing en control’-concept. In 2015 heeft hij het in dit tijdschrift over ‘De wankeling van een besturingsparadigma, een alternatief perspectief op controllership in de publieke sector’.

Hun posities staan niet noodzakelijk tegenover elkaar. Ook Van de Ven constateert in zijn oratie in 2008 dat de negatieve beheersingsbenadering bijdraagt aan de door Beck (1992) gediagnostiseerde risicosamenleving. In een risicosamenleving brengt de groei aan technische mogelijkheden toenemende onmogelijkheid met zich mee om consequenties van keuzes te bepalen. Daardoor komt het vermijden van negatieve bijeffecten van keuzes centraal te staan. Dit in plaats van het realiseren van doelen en het creëren van waarde door het combineren van alternatief aanwendbare middelen. Abstracte standaardinstrumenten zoals de COSO-raamwerken en beheersingssystemen gebaseerd op risicoanalyse, beïnvloeden de manier waarop mensen naar organisaties kijken en wat ze daarvan verwachten. De kloof tussen wat mensen verwachten en wat organisaties kunnen leveren heeft als pervers effect een roep om méér controle en beheersing en minder vertrouwen in mensen. Een vergelijkbaar fenomeen als de ‘risico-regelreflex’ die de rijksoverheid onderkent in een handreiking aan bestuurders, ‘Verantwoord omgaan met risico’s door bestuurders’. Van de Ven pleit ervoor om af te zien van ‘in control-verklaringen’ omdat het vragen van een onmogelijke verklaring die verwachtingskloof in de hand werkt.

Vertrouwen als aanvulling op beheersing

Zonder vertrouwen in mensen faalt beheersing. Steunen op formele systemen leidt tot systematische uitholling van interne beheersing (Van de Ven, 2009). Het belang van het combineren van beheersing met vertrouwen wordt ook benadrukt door de Directie Begrotingszaken van het ministerie van Financiën in het kader van het project ‘Vertrouwen geven en in control zijn’. Vos en De Bree werken dat in dit tijdschrift (2016) uit tot een pleidooi voor ‘meer zuurstof in het systeem’ (alias beleidsruimte). In een uitgebreider ‘achtergrond­verkenning’ die daaraan ten grondslag ligt, besteden ze ook aandacht aan de genoemde ‘risico-regelreflex’. Volgens hen iets van alle tijden en plaatsen. 

De Bree en Vos bepleiten het creëren van beleidsruimte in beheersingssystemen door het maken van onderscheid tussen ‘rode’ (hard verplichtende), ‘blauwe’ (pas-toe-of-leg-uit) en ‘groene’ (als advies op te vatten) normen. Dat valt ook ‘in te bouwen onder de motorkap’, in computersystemen. Ze onderscheiden negen kritische succesfactoren voor gerechtvaardigd vertrouwen; de volgorde is die waarin je het best kunt bouwen aan vertrouwen:

1 duidelijkheid over wat mensen van elkaar verwachten,
2 kennis en kunde om die verwachtingen waar te kunnen maken,
3 voldoende gedeeld belang,
4 een goed gevoel bij elkaar,
5 open communicatie,
6 zicht op risico’s en voldoende acceptatie daarvan,
7 acceptatie van bevraagd worden op het voldoen aan verwachtingen,
8 incidenten bespreken en daarvan leren,
9 te veel en bewuste inbreuken op vertrouwen; die hebben consequenties.

Vertrouwen in plaats van beheersing?

Vertrouwen enerzijds en sturing en beheersing anderzijds zijn zowel complementair als substituten (Klein Woolthuis, Hillebrand & Nooteboom, 2005 en Nooteboom, 2006). In hoeverre ze elkaar versterken of zelfs nodig hebben dan wel elkaar negatief beïnvloeden is context- en padafhankelijk. De uitdrukking ‘vertrouwen komt te voet en gaat te paard’ spreekt in dat verband boekdelen. Terugvallen op uitsluitend sturen en beheersen is makkelijker dan opbouwen van vertrouwen. Dit lijkt ook te impliceren dat we vertrouwen als wenselijker beschouwen dan sturing en beheersing. We zijn echter terecht beducht dat vertrouwen niet duurzaam is. We moeten kunnen terugvallen op sturing en beheersing als vertrouwen faalt.

Een passende metafoor daarvoor is een trampoline. De grond waarop die staat wordt gevormd door de rode, harde normen. De blauwe normen veren mee, afhankelijk van de omstandigheden. De groene normen representeren het kwaliteitsstreven en de beleidsruimte van een organisatie. De publieke waarde waarnaar wij streven in het publieke domein.

Het gaat echter om meer dan vertrouwen en beheersing. In een speech voor het World Economic Forum, die na zijn dood in 2004 viraal ging, noemde Ghoshal het ‘the smell of the place’, een maakbare ‘context’ die medewerkers kan ‘verjongen’. 

In hoeverre is zo’n verandering van organisatiecultuur mogelijk en wenselijk? Ghoshal gebruikt in de genoemde speech het klimaatverschil tussen het centrum van Calcutta in de zomer en de bossen van Fontainebleau in het voorjaar als metafoor voor cultuurverschillen tussen organisaties. In zijn afscheidsrede als hoogleraar aan Nyenrode Business Universiteit in 2013 presenteert De Koning onderzoek waaruit blijkt dat organisatiecultuurverschillen grotendeels het gevolg zijn van cultuurverschillen tussen landen. Die nationale cultuurverschillen ontleedt hij met behulp van vijf kenmerken die hij ontleent aan Hofstede e.a. (2010): machtafstand (PDI), individualisme (IDV), masculiniteit (MAS), onzekerheidsvermijding (UAI) en langetermijnoriëntatie (LTO).

Twee van die kenmerken gebruikte Mintzberg (1983) al voor zijn ‘organisatorische archetypes’, gekoppeld aan diezelfde landen:

De Koning constateert dat Nederland qua machtafstand en onzekerheidsvermijding een vergelijkbare middenpositie inneemt als de VS. De lagere score op masculiniteit maakt het echter mogelijk om meer gebruik te maken van overleg en minder van harde sturing en beheersing. Een organisatie in een softer nationale cultuur kan meer gebruik maken van soft controls.

Kortom: in Nederland kunnen we relatief ver gaan in het vervangen van beheersing door vertrouwen, maar we kunnen niet zonder beheersing.

Beheersbaarheid als omgevingsfactor

Een belangrijke omgevingsfactor die de ruimte bepaalt voor vertrouwen en de noodzaak van én tolerantie voor beheersing, is dus de nationale cultuur waaruit een organisatie zijn medewerkers rekruteert. Een andere belangrijke omgevingsfactor is de beheersbaarheid van die omgeving. 

COSO heeft het over ‘interne’ beheersing, maar vat daar in het risicomanagement raamwerk (2004) ook de beheersing onder van risico’s die betrekking hebben op (het niet realiseren van) strategische doelen. ‘Intern’ en ‘extern’ zijn tegenwoordig sowieso steeds minder goed te onderscheiden, doordat een toenemend deel van de medewerkers van de meeste organisaties via steeds meer communicatiemiddelen in contact staat met de externe organisatieomgeving. Dat geldt zeker in de publieke en not-for-profitsector. Daar hebben de organisatie­doelen betrekking op het publieke domein, op het realiseren van maatschappelijke waarde. De interactie met de buitenwereld waarin die maatschappelijke waarde gerealiseerd moet worden, kan daar meestal niet worden over­gelaten aan inkoop- en verkoopafdelingen, maar behoort tot de taken van vrijwel alle medewerkers.

Een onderscheid dat steeds vaker gemaakt wordt bij het analyseren van beheersbaarheid is dat tussen ‘complexe’ omgevingen waarin alles met alles samenhangt, en ‘gecompliceerde’ omgevingen waarin – hoe moeilijk ook – eenduidige causale relaties te ontdekken vallen. In een gecompliceerde omgeving heb je – anders dan in een ‘eenvoudige’ omgeving waarin keuzes voor de hand liggen – een range aan mogelijke goede keuzes. Met behulp van voldoende expertise valt er echter nog wel te plannen. In eenvoudige en gecompliceerde omgevingen is de geijkte planning & controlcyclus toepasbaar, de Deming-cyclus (Plan, Do, Check, Act). In een complexe omgeving daarentegen zijn de reacties op het handelen van een organisatie onvoorspelbaar. In plaats van langere tijd vooruit te plannen en na afloop te evalueren en bij te sturen, is een veel kort-cyclischer manier van interacteren met die omgeving noodzakelijk. ‘Probe-sense-response’, zoals het binnen IBM ontwikkelde en door Kurtz en Snowden in 2003 gepubliceerde Cynefin-raamwerk het aanduidt.

Figuur 3. Cynefin-raamwerk Snowden (2014)

En dan zijn er ook nog ‘chaotische’ omgevingen, waarin elke samenhang, ook die van alles met alles, zoek lijkt. In de auditingtypologie van Stevens (2012) zijn dat de ‘gepolitiseerde’ settings waarin organisatiesucces afhangt van ‘connectiviteit’, van het vinden en creëren van samenhang. Het is ook het soort omgeving waar het Amerikaanse leger in terechtgekomen meende te zijn na het einde van de koude oorlog en waarvoor het de term ‘VUCA’ introduceerde in het militaire vocabulaire: volatile, uncertain, complex, ambiguous. Sindsdien wordt de term ook steeds vaker in andere contexten gebruikt, zowel privaat als publiek, en is er veel geschreven over de veerkracht, het aanpassingsvermogen en andere kenmerken van personen en organisaties om in zo’n omgeving succes te hebben. Van der Kuil (2015) formuleert bijvoorbeeld een groot aantal succesfactoren voor het managen van organisaties in zo’n omgeving. Motiverende doelen zijn daarin belangrijker dan procedures, verander­management belangrijker dan kwaliteitsborging.

Van der Kuil bepleit het werken met een ‘Deming-cyclus met hoge rotatiesnelheid’: Anticipate, Recognize, Evaluate, Implement, Review in plaats van Plan, Do, Check, Act. Het is de vraag of dat voldoende is. Het Cynefin-raamwerk beveelt niet voor niets een Act, Sense, Respond-cyclus aan: Zeker een overheidsorganisatie kan het zich in een chaotische situatie niet veroorloven om niets te doen. Handelen om een situatie naar je hand te zetten is dan het startpunt, beoordelen wat dat oplevert, komt op de tweede plaats en daar passend op reageren kan dan weer orde in de chaos brengen.

Meet kritische succesfactoren

Welk instrumentarium staat je als controller ter beschikking daar waar beheersing wordt afgebouwd? Onafhankelijk van de vraag of dat nu een keuze is die beter past in de Nederlandse context en die van de publieke sector, of van noodzaak bij gebrek aan beheersbaarheid van de omgeving waarin je organisatie opereert.

In het kader van het genoemde project ‘Vertrouwen geven en in control zijn’ is binnen het ministerie van Financiën een ‘vertrouwensscan’ ontwikkeld, een vragenlijst waarmee individuen bevraagd kunnen worden op hun perceptie van de aanwezigheid van de genoemde kritische succesfactoren voor gerechtvaardigd vertrouwen binnen relaties en organisaties. De praktijk daarvan kwam ook al aan de orde in dit tijdschrift (Budding, Groot & Vos 2012).

De uitkomst van zo’n vertrouwensscan kan bijvoorbeeld als volgt gevisualiseerd worden:

Daarin representeert het grijze gebied de gemiddelde score van een organisatie. De gekleurde uitschieters zijn de hogere scores van sommige medewerkers of afdelingen. Een voldoende hoge score op de kritische succesfactoren links (6, 1, 7 en 9) en onder (2) representeert de ‘harde’ basis voor het vertrouwen en de beheersing waar zo nodig op kan worden teruggevallen.

Dynamische beheersing

Op 4 april 2017 organiseerden JS Consultancy en het Zijlstra Center van de Vrije Universiteit de Young Public Controllers Battle. De opdracht was om een bruikbaar model te ontwikkelen en presenteren van dynamische beheersing. Van den Berg, Planjer en Wytema wonnen met het model van figuur 5. (Het model zoals weergegeven in figuur 5 is nog in ontwikkeling. De auteurs willen hun model in een later artikel toelichten).

In hun model verwijst Observe, Orient, Decide, Act naar het besluitvormingsmodel van Boyd. Niet toevallig ook afkomstig uit de militaire wereld waarin het begrip VUCA werd uitgevonden.

Zoals Mårtensson (2010b) uitlegt, vereist dynamische control een ander type organisatie, een organisatie die in zijn terminologie gebaseerd is op agile principes. Geen hiërarchische, maar een netwerkorganisatie. De organisatie moet opgebouwd zijn uit autonome eenheden die niet gebonden zijn aan centrale autorisatie, uniform beleid en standaardprocedures. Anders dan hij (Mårtensson, 2010a), beschouw ik die typen organisaties niet als fundamenteel verschillend. Hij beschouwt ze als representanten van ‘theorie X’ respectievelijk ‘theorie Y’, de negatieve respectievelijk positieve mensbeelden zoals beschreven door McGregor. Op basis van het genoemde onderzoek van De Koning (2013) en Hofstede e.a. (2010) zie ik organisaties echter eerder als gepositioneerd in een meerdimensionale ruimte, op een plek op elk van de genoemde schalen voor vijf cultuurkenmerken. Van de vijf organisatorische archetypes van Mintzberg lijkt zijn innovatieve organisatie met kleine machtafstand en lage onzekerheidsvermijding het meest geschikt voor dynamische beheersing. Dat model laat echter minstens drie kenmerken van organisatiecultuur buiten beschouwing.

In het model van dynamische beheersing van Van den Berg, Planjer en Wytema hangt de toepasbaarheid van de Deming-cyclus (PDCA) dan wel de Boyd-cyclus (OODA) af van de mate van onzekerheid. In plaats daarvan zou ik het (bredere) begrip ‘beheersbaarheid van de externe omgeving’ nemen, dat geanalyseerd kan worden met behulp van het Cynefin-raamwerk. Hoe chaotischer en gepolitiseerder een omgeving is, des te minder zijn resultaten planbaar en des te meer is iteratief ontwerp (scrum & agile werken) geboden of zelfs trial & error onvermijdelijk.

Kwade wil

‘Je ontkomt niet aan beheersing en aan de noodzaak om risico’s uit te sluiten, want er zijn altijd mensen van kwade wil die je de pas moet afsnijden.’ De voor de hand liggende tegenwerping tegen het te zeer varen op vertrouwen in plaats van beheersing. Klopt. Organisaties hebben vangnetten nodig. Afspraken over wat je van elkaar verwacht en consequenties als verwachtingen beschaamd worden. De ‘harde controls’ 1, 6, 7 en 9 uit het overzicht van kritische succesfactoren voor het werken van vertrouwen van Vos en De Bree. Maar beter nog: trampolines. Met daarbovenop beleidsruimte voor innovatie en voor niet-gedefinieerd en niet-genormeerd kwaliteitsstreven.

Kwade wil wortelt in belangentegenstellingen en soms in doelgerichte polarisatie en concurrentie. Het is zaak die bronnen van kwade wil te identificeren en daarop wél beheersingsmaatregelen te richten. Een luchtvaartmaatschappij kan niet riskeren dat er een vliegtuig uit de lucht komt vallen. Zelfs geen ‘six sigma’ (3, 4 fouten op een miljoen). Zeker niet nu terroristen dat als wapen hebben ontdekt. Wie een mens op de maan wil hebben én heelhuids terug wil halen kan ook niet zonder technocratie. Ruimtevaarttechnologie kan ook beter niet in handen kan vallen van leiders als Kim Jong-un. De wortels van tegen een organisatie gerichte kwade wil zijn – opnieuw – context- en padafhankelijk. Afhankelijk van een meer of minder vijandige context heeft een organisatie meer of minder beheersing nodig. De Nederlandse context is echter bepaald niet de meest vijandige ter wereld. Het is dus zaak om niet automatisch allerlei modellen te kopiëren uit andere contexten. Iets meer touwtjes uit brievenbussen moet kunnen.

Wim Nusselder werkt als controller en knowledge broker bij The Broker en volgt de opleiding voor Certified Public Controller aan de Vrije Universiteit.

Literatuur
•  Bartlett, C. A. & Ghoshal, S., ’Rebuilding Behavioral Context: Turn Process Reengineering into People Rejuvenation MIT Sloan’, Management Review 37, No. 1 (fall 1995), pp. 23–36.
•  Beck, U. (1992), Risk Society - Towards a New Modernity, London, SAGE Publications.
•  Budding, G, Groot, T.L.C.M. & Vos, R.O. (2012), ’De vertrouwensscan in de praktijk,’ TPC, jrg. 10, nr. 3.
•  COSO (2004), ’Enterprise Risk Management, integrated framework’, www.coso.org.
•  COSO (2013), ’Internal control, integrated framework’, www.coso.org.
•  Hofstede, G., Hofstede, G.J. & Minkov, M. (2010), Cultures and Organizations, Software of the Mind, 3e druk, New York, McGraw-Hill.
•  Klein Woolthuis, R., Hillebrand B. & Nooteboom B., (2005), ’Trust, contract and relationship development’, Organization Studies, Vol. 26, No. 6, pp. 813-840.
•  Koning, W.F. de (2013), ’De menselijke kant van BIV’, Nyenrode Business University, afscheidsrede.•  Kuil, T. van der (2015), ’De snelle, onzekere, complexe en vage VUCA wereld’, Quality Business Support, Blog 1-2-2015.
•  Mårtensson, H. (2010a), ’Re-imagining Agile part 1: Why it shouldn’t be done, and how to do it’, Kallokain, Blog, 3-8-2010.
•  Mårtensson, H. (2010b), ’Re-Imagining Agile part 2: Designing from the outside in’, Kallokain, Blog, 7-8-2010.
•  Mintzberg, H. (1983), Structure in fives: Designing effective organizations, Prentice Hall, Toronto.
•  Nooteboom, B. (2006), ’Vormen en bronnen van vertrouwen’, MAB, jrg. 80, nr. 1.
•  Stevens, R. (2012), Met Open Vizier, Auditing als stimulerende interventie, Overveen: Stevens Consultancy bv, proefschrift Universiteit van Tilburg.
•  Ven, A.C.N. van de (2008), ’Administratieve Organisatie: praktisch relevant maar ook wetenschappelijk interessant?’, oratie Universiteit Tilburg.
•  Ven, A.C.N. van de (2009), Interpretaties, afbakening en toekomst van BIV/AO’, MAB, jrg. 83, nr. 11.
•  Vos, R.O. (2012, red.), ’Vertrouwen geven en in control zijn; En nu doen!’, Congresverslag 19 januari 2012, Den Haag: Rijksacademie voor Financiën, Economie en Bedrijfsvoering, Ministerie van Financiën.
•  Vos, R.O. & Bree M.A. de, 2016, ’Meer zuurstof in het systeem’, TPC, jrg. 14, nr. 4, (uitgebreidere versie hier).
•  Vosselman, E.G.J. (2011), ’Rekenschap en management control in de publieke sector: hoofdweg, dwaalweg en uitweg’, oratie Vrije Universiteit.
•  Vosselman, E.G.J. (2015), ’De wankeling van een besturingsparadigma, een alternatief perspectief op controllership in de publieke sector’, TPC. jrg. 13, nr. 5.