Expert

Opportunities of modern control processes in a new reality

Het regeerakkoord van oktober 2014 vraagt expliciet om “een dienstverlening met de hoogst mogelijke kwaliteit en performantie en de beste verhouding prijs/kwaliteit.” De visie om dit te realiseren wordt duidelijk geformuleerd: ”Daartoe vereenvoudigt de federale overheid haar structuren, innoveert ze voortdurend, stelt ze klantgericht haar processen centraal, trekt ze de beste talenten aan en waakt ze over kostenefficiëntie en een kleiner overheidsbeslag. De administraties maken daarbij maximaal gebruik van nieuwe ICTtechnologieën.” Een aantal van deze concepten zijn niet nieuw: De vereenvoudiging van structuren was één van de belangrijke doelstellingen van Copernicus, de FOD P&O is een gekende voorvechter van klantgerichte aanpak en innovatie, een steeds hogere coördinatie van het ICT beleid binnen de federale overheid is reeds geruime tijd ingezet,… maar deze initiatieven bleken tot nu toe spijtig genoeg onvoldoende om de perceptie en voor een deel de realiteit van de overheid als log gevaarte te keren.
In de nieuwe, harde realiteit lijkt de focus en de discours van verschillende betrokken partijen vooral te liggen op de reductie van het aantal effectieven in het overheidsapparaat en minder op de opportuniteiten die deze omstandigheden bieden om belangrijke aanpassingen in de manier van werken en denken binnen de overheid door te voeren. Die opportuniteiten zijn er wel degelijk, maar om ze te kunnen aangrijpen, moeten we ze eerst en vooral identificeren. Dat betekent dat we rustig naar de feiten en cijfers dienen te kijken.
Omdat we in dit document vooral kijken naar de opportuniteiten rond relevantie en plaats van interne controle in deze nieuwe realiteit, maken we als referentiekader voor onze analyse gebruik van het gekende COSO-raamwerk voor interne controle. En we doen dit aan de hand van een zeer concreet en gekend voorbeeld.

AF447

Op 1 juni 2009 stapten 228 mensen, waaronder 216 passagiers, aan boord van een Airbus die van Rio de Janeiro naar Parijs zou vliegen. De meeste passagiers werden slechts 2 jaar later teruggevonden, op de bodem van de Atlantische Oceaan. Er zijn verschillende belangrijke lessen die uit deze verschrikkelijke ramp kunnen getrokken worden en die ver buiten het referentiekader van de luchtvaart liggen.

De luchtvaartindustrie is immers het schoolvoorbeeld van een industrie die iteratief leert en zichzelf voortdurend verbetert. Om in een complexe omgeving zoals een vliegtuig fouten te vermijden, worden naast de automatisering ook veel gedetailleerde procedures ontwikkeld die ervoor moeten zorgen dat wanneer er iets misgaat, iedereen weet wat hem of haar te doen staat om het voorkomen van verdere risico’s te voorkomen en de impact van de bestaande risico’s zoveel mogelijk te reduceren. Het bestaan van dergelijke controleprocedures kan echter een vals gevoel van veiligheid creëren.

Controle omgeving

De controleomgeving vormt de eerste component, het fundament, van het COSO raamwerk. Het is een geheel van standaarden, processen en structuren die ervoor zorgt dat interne controle in een organisatie mogelijk is. Politiek verantwoordelijken en topmanagement zijn de traditionele uithangborgen van deze standaarden en bepalen de zogenaamde “tone at the top”. Management in alle lagen van de organisatie bevestigt deze “tone at the top” door haar gedrag op dagdagelijkse basis.

Een eerste probleem op vlucht AF447 bleek een overdreven respect voor hierarchie. Tijdens het naderen van de intertropische convergentie zone in de Atlantische Oceaan, maakte de junior co-piloot meerdere opmerkingen over noodzakelijke correctieve acties wat betreft koers. Op geen enkele werd gereageerd door de captain of de andere, minder ervaren, piloot. Als de tone at the top een verplicht overdreven respect voor hiërarchische structuren aanmoedigt, kan een vals gevoel van veiligheid ontstaan, omdat de minder ervaren medewerker blind vertrouwt op het oordeel van zijn meerdere en de meerdere voortgaat op zijn superioriteit of op de technologie.

Indien het leiderschap faalt, moeten medewerkers kunnen teruggrijpen naar een relevant formeel referentiekader. Indien dit ontbreekt kunnen de hiërarchische relaties volledig de overhand nemen en dreigen er significante problemen.

De federale overheid deed reeds verschillende pogingen om de controle omgevingen te formaliseren, maar deze hebben tot op vandaag tot weinig operationeel bruikbare referentiekaders geleid. Tone at the top is enkel en alleen afhankelijk van de persoonlijkheid van de individuele politieke verantwoordelijke en het topmanagement. Het gebrek aan een bredere, gestructureerd referentiekader zorgt ervoor dat ook zij meer kwestbaar zijn. De controleomgeving dreigt zo onvoldoende bestand te zijn tegen structurele schokken, hetzij van buitenuit, hetzij van binnenuit, in de processen zelf.

De risico-evaluatie

COSO definieert een risico als een mogelijkheid dat een situatie zich zal voordoen die een negatief effect kan hebben op het bereiken van de doelstellingen. Dat betekent eerst en vooral dat er specifieke vastgelegde doelstellingen moeten zijn, en dat er een rangorde bestaat in deze doelstellingen indien ze met elkaar in conflict zouden komen.

Voor vlucht AF447, zoals voor alle andere vluchten, waren de doelstellingen duidelijk: de mensen aan boord van het vliegtuig veilig van Rio de Janeiro naar Parijs brengen, idealiter op een zo kosten-efficiënte manier mogelijk.

Binnen de overheid merken we dat niet elke activiteit duidelijke en expliciet geformuleerde doelstellingen heeft. Traditionele, recurrente proces-activiteiten vallen soms volledig buiten een doelstellingenkader. Zeker in een context waar de overheidsdiensten gehouden zullen worden aan geformaliseerde afspraken (cfr beheersovereenkomsten, kerntakenplan,…), zullen de doelstellingen op een meer duidelijke en samenhangende manier moeten bepaald worden voor alle activiteiten, en dit zowel op strategisch en op operationeel vlak.

Goed uitgevoerde risico-evaluaties vragen echter meer dan duidelijke doelstellingen alleen. Een risico-evaluatie is onmogelijk zonder een goed begrip van de situatie waarin men zich bevindt of zou kunnen bevinden.

In de luchtvaartindustrie worden zoveel mogelijk scenario’s bestudeerd in simulatoren of in de context van incidenten of accidenten. Deze analyses worden gedaan door operationele mensen en zijn gebaseerd op duidelijke omschrijvingen van wat de correcte situatie zou moeten zijn. Tegenover zo’n duidelijk “normale praktijk” referentiekader worden afwijkingen gemakkelijker geïdentificeerd door mensen of systemen met voldoende operationele kennis of informatie. De systemen aan boord van AF447 zagen wel degelijk dat er iets mis was en dus gingen de alarmsignalen af.

In de overheidscontext bestaan deze referentiekaders vaak niet. Processen zijn niet, onvoldoende, of niet recent beschreven. Afwijkingen worden daardoor moeilijker vast te stellen omdat er geen objectieve maatstaf van “normaal” of “correct” functioneren meer bestaat.

Risico-evaluaties worden te vaak louter uitgevoerd door een management team dat niet altijd de volledige diepte kennis van het proces heeft om alle operationele dimensies en implicaties van een probleem te kunnen identificeren. Operationele medewerkers worden onvoldoende betrokken bij deze analyses.

Risico-evaluaties in de huidige federale overheidscontext zijn daarom vaak niet bestaand of onvolledig en volstaan dus niet als instrument om voldoende tijdig een indicatie geven van een disfunctie. Maar zelfs een tijdige indicatie van een disfunctie houdt geen garantie in dat deze disfunctie zal worden opgelost. Het onder controle brengen van dat risico valt onder de COSO component “controle activiteiten”.

De controle activiteiten

Controle activiteiten zijn acties op basis van procedures die ervoor moeten zorgen dat het risico niet of minder gemakkelijk voorkomt (een reductie van de waarschijnlijkheid van voorkomen) of dat de impact van het risico op de doelstellingen beperkt blijft. Controle activiteiten worden op elk niveau van een organisatie uitgevoerd, op verschillende momenten in processen en in de ondersteunende technologische omgeving. Een medewerker of een team kan enkel correct reageren op een risico indien tijdig onderkend wordt dat een gebeurtenis voorvalt … dit betekent ook dat begrepen moet worden dat er een probleem in wording is.

Ondanks het feit dat de risico-identificatie en -notificatie in het vliegtuig correct gebeurde, blijkt duidelijk uit de situatie van AF477 dat de snel evoluerende situatie niet ten gronde begrepen werd. Het was niet het gebrek aan formele kennis of referentiekaders die het ongeluk veroorzaakten. Het was het gebrek aan inzicht in wat er aan het gebeuren was met het vliegtuig, gekoppeld aan een blind vertrouwen in de technologie, dat plots omsloeg in een volledig wantrouwen over wat de instrumenten aangaven. Het team in de cockpit begreep tot luttele seconden voor de inslag in de Atlantische Oceaan niet wat er in feite aan het gebeuren was.

Mogelijk had een boordwerktuigkundige aan boord van dit vliegtuig het ongeval kunnen voorkomen. De uiterst competitieve industrie automatiseerde echter deze functie van ingenieur met kennis van de machine, de systemen en hun gedragingen reeds in de jaren ’80 van vorige eeuw. Net zoals vele traditionele interne controle activiteiten werd de boordwerktuigkundige redundant genoemd…

Omwille van automatisering hebben medewerkers binnen de overheid verantwoordelijkheid over steeds minder aspecten van een proces. Ze kennen hun deeltje van de activiteiten, maar hebben geen of onvoldoende zicht op het volledige plaatje. Dit zorgt ervoor dat als er iets fout gaat, ze niet of onvoldoende in staat zijn om het proces onder controle te houden. Niet omdat ze dat niet willen, niet omdat ze ertoe niet in staat zouden zijn, maar enkel en alleen omdat ze geen volledig beeld hebben over de situatie.

Dit risico wordt groter in een sterker geautomatiseerde overheid.

Informatie en communicatie en Monitoring

De laatste twee lagen van het COSO interne controle referentiemodel bespreken het verzamelen, analyseren en evalueren van wat er in feite gebeurt in een organisatie, om het interne controleproces waar nodig aan te passen en bij te sturen.

In de luchtvaartindustrie stellen we vast dat het aantal ongevallen significant is gedaald door de automatisering van vliegtuigen. Maar hierdoor daalde ook de praktische ervaring met en de kennis en het begrip van het vliegproces zelf.

De reden waarom vlucht 1549, een andere Airbus A320–200 van US Airways op 15 januari 2009 er wel in slaagde om na het uitvallen van de beide motoren tijdens het opstijgen te landen in de Hudson rivier in het midden van Manhattan, New York City, is net een goede combinatie van onmiddellijk begrip van de situatie, een gerichte maar zeer gefocuste communicatie en het weten welke acties te nemen. Van de 150 passagiers liet geen enkele het leven. De piloot was een ex-gevechtspiloot met een kleine 20.000 vlieguren op zijn naam.

In de overheid wordt het aantal mensen in het proces gereduceerd en vervangen door geautomatiseerde oplossingen. Deze leveren meer consistente kwaliteit door de menselijke foutenmarge weg te nemen, maar het leidt wel tot een reële afname van de beschikbare, diepgaande kennis van hoe een bepaald proces verloopt. De betrokken verantwoordelijken kunnen hierdoor onvoldoende reageren op een afwijkende situatie of kunnen zelfs niet herkennen dat een fout gebeurt.

Bepaalde essentiële monitoring componenten werden ondertussen 12 jaar na de publicatie van de eerste KB’s hierover in 2002 nog steeds niet correct en volledig ingevoerd. Het ontbreken van een functionerende interne audit, onder welke vorm dan ook, verhindert de federale overheid om haar interne controle continue structureel te verbeteren. De sluitstukken van goede governance binnen de federale overheid zijn op dit moment onvolledig.

Vaststellingen

Onze nieuwe, harde realiteit creëert zo een zeer dubbelzinnige situatie. Aan de ene kant zijn er minder tijd en middelen voor het uitvoeren van kwalitatieve interne controles, en aan de andere kant is de nood voor geoptimaliseerde interne controles op basis van een recurrente, relevante risicoanalyse nog nooit zo hoog geweest. Wanneer een proces meer en meer onder druk komt te staan, zijn medewerkers geneigd om de controles die omzeilbaar zijn, te omzeilen, enkel en alleen om tijd te winnen. Enkel interne controles die volledig begrepen en relevant geacht worden door de betrokkenen zullen weerhouden worden in processen onder druk.

Het ongeval van AF447 was te vermijden geweest. Er bleek een samenloop van omstandigheden te zijn die geleid heeft tot het verlies van 228 levens. Gelijkaardige analyses van andere rampen leiden ons tot de vaststelling dat het vaak niet de grote, gapende controle-zwakheden zijn die een ramp veroorzaken. Deze zijn genoegzaam gekend en medewerkers vermijden deze intuïtief. Het is de opstapeling van kleine probleempjes die onder de radar passeren en samen leiden tot een groot probleem. Gelukkig is er ook voor dit soort situaties een oplossing.

Zeven concrete aanbevelingen

We kunnen deze uitdagingen in opportuniteiten ombuigen, via de volgende zeven concrete aanbevelingen:

Eerste aanbeveling – Het formaliseren van procesbeschrijvingen in een eenvoudig onderhoudbaar systeem. We dienen ons hierbij prioritair te richten op die gebieden waar de niet-vervangingen van cruciale medewerkers het meeste invloed zal hebben. Hierbij is het belangrijk dat het eigenlijke proces in kaart gebracht wordt om ervoor te zorgen dat enerzijds de medewerkers later kunnen steunen op een uitvoerbaar referentieproces en anderzijds dat de risicoanalyse gebaseerd wordt op het eigenlijke proces, en niet op een concept dat niet in de praktijk wordt uitgevoerd.

Tweede aanbeveling – Het vastleggen van die essentiële inzichten die dieper gaan dan het proces. Op dit ogenblik is er bij een aantal van uw medewerkers unieke kennis aanwezig, mogelijk zelfs oplossingen voor problemen waar u al lang naar op zoek bent. Bepaalde medewerkers hebben in hun jaren activiteit een eigen, relevant maar nooit geformaliseerd inzicht verworven in de processen waarvoor ze verantwoordelijk zijn. Morgen bent u die medewerkers kwijt. Deze inzichten kunnen uw manier van werken revolutionair beïnvloeden, als u in staat bent om ze te capteren. De academische wereld moet hier een rol spelen. Door post-universitair onderwijs worden mensen in een positie geplaatst waar ze met enige afstand hun activiteiten kunnen beschouwen en er lessen uit trekken waarvoor ze anders nooit de tijd zouden hebben gehad. Hun inzichten kunnen in een formeel kader verzameld worden en dit ten voordele van deze overheden.

Derde aanbeveling – Het uitvoeren van regelmatige risicoanalyses op het proces met actieve deelname van operationele medewerkers. De mensen die het werk zelf uitvoeren, hebben een inzicht in deze processen op een fundamenteel andere manier dan een manager. Het is belangrijk dat deze inzichten in de mogelijke problemen zo volledig mogelijk gevat worden. Ze moeten daarnaast ook betrokken worden bij het ontwikkelen risicobeheer maatregelen. Vaak hebben ze deze antwoorden al lang klaar, maar faciliteert de hiërarchische structuur van de organisatie de communicatie van de essentiële boodschappen onvoldoende of niet. Hier ligt een sleutelrol voor bijvoorbeeld een moderne interne audit functie.

Vierde aanbeveling – Het opleiden van medewerkers niet enkel in het omgaan met risico’s, maar in het herkennen ervan. De controle activiteiten kennen is essentieel om een probleem tijdig te behandelen. Maar we moeten eerst en vooral weten dat een probleem zich voordoet. Dit betekent dat de kennis van de processen verder moet reiken dan de beperkte verantwoordelijkheid die een operationele medewerker nu soms heeft. Dit leidt tot een betere en snellere herkenning van afwijkingen.

Vijfde aanbeveling – Het regelmatig blootstellen van medewerkers aan het gehele proces. Kennis en begrip is gebaseerd op ervaring. Het is belangrijk dat medewerkers op geregelde tijdstippen worden blootgesteld aan en functioneren in het gehele proces, gewoon al om te begrijpen hoe dat in elkaar zit. Daarnaast is het belangrijk dat in geval van voorkomen van de zogenaamde “unknown unknowns” – onbekende risico’s als gevolg van onbekende oorzaken – medewerkers het proces in detail kennen, zodat ze zelf waar nodig de nodige bewarende maatregelen kunnen nemen om een situatie niet (verder) te laten escaleren.

Zesde aanbeveling – ontwikkel systeemgebaseerde doelstellingen naast resultaatsdoelstellingen. Dit mag contra-intuitief lijken in een context waar performantie hoog in het vaandel gedragen wordt, maar hoe meer de focus ligt op enkel de resultaten, hoe vaker de relevante omkaderende interne controles worden losgelaten en hoe hoger het risico op fouten. Druk op het proces leidt soms tot het uitschakelen van de essentiële interne controles. Daarom is het belangrijk om ook doelstellingen te formuleren die nagaan of het proces correct en volledig is uitgevoerd.

Zevende aanbeveling – kader de vernieuwde procesaanpak binnen een bredere visie rond organisatiebeheersing, waar processen, mensen en technologie optimaal samenwerken en maximaal gebruik maken van de beschikbare informatie. Processen bestaan niet los van mensen. Mensen voeren processen uit. Ook technologie speelt een belangrijke rol. Technologie, wanneer goed geïmplementeerd, levert een ware schatkamer aan informatie op die, mits correct behandeld, moet leiden tot kennis en uiteindelijk tot inzichten. Die inzichten dienen dan opnieuw de manier van werken te voeden. Dit is de basis voor de ontwikkeling van de toekomstige beleidslijnen. Informatie, vertaald naar kennis, resulterend in inzichten zit niet langer gevangen in de hoofden van medewerkers maar wordt tastbaar, beschikbaar voor alle betrokkenen … zelfs voor de stakeholders, een belangrijker wordende groep in government governance.

Conclusie

De nieuwe harde realiteit biedt naast belangrijke uitdagingen ook opportuniteiten om via diverse initiatieven de processen en de erin geïntegreerde interne controles te optimaliseren. Er zijn voldoende mogelijkheden om positieve ontwikkelingen rond organisatiebeheersing te realiseren.

Mensen zijn mensen, en maken fouten, en machines zijn ontworpen en geprogrammeerd door mensen en kunnen daarom ook fouten in programmering bevatten die op hun beurt tot fouten in verwerking kunnen leiden.

Wanneer het fout loopt zal er minder ruimte zijn voor correctie in een geautomatiseerde realiteit met minder beschikbare medewerkers. Het correct uittekenen van de eigenlijke processen, het verzamelen van de nu nog beschikbare diepere inzichten in manieren van werken, het voldoende frequent uitvoeren van de noodzakelijke risicoanalyses en het actief betrekken van medewerkers in het proces zal de weerbaarheid van deze processen en van onze administraties en overheidsorganisaties verhogen in die gevallen dat het fout loopt. En dan zouden we zelfs kunnen zeggen, en bewijzen, dat het falen van een proces kan leiden tot de triomf van het nieuwe denken rond deze problematiek. Omdat het risico gekend, onderkend, beheerd en vermeden werd.

Dit vraagt een investering, maar het gebruik van bepaalde methodes, tools en technieken kan leiden tot een hogere graad van beheersing van deze processen, ook onder afwijkende omstandigheden. Mits het geheel goed gekaderd wordt, binnen een globale visie waar mensen, processen en systemen elkaar op een correcte manier aanvullen en voldoende, maar niet overdreven wederzijds redundant zijn, zal de globale beheersing significant stijgen, zonder noodzakelijk te leiden tot een hogere kost van uitvoering.

Deze white paper is geschreven door Prof. Ben Broeckx

Ben Broeckx is executive professor internal auditing & government auditor op de Antwerp Management School en doceert risk management aan de Solvay Brussels School. Hij is daarnaast het hoofd van de dienst interne audit en het integriteitsbureau van het Belgisch Agentschap voor Ontwikkelingssamenwerking (BTC/CTB).

Gedurende zijn carrièrepad voerde hij verschillende projecten uit bij de federale overheid en belgische & vlaamse organisaties. Hij ontwikkelde een methodologie voor “comprehensible risk management” en de prestigieuse “European Strategic Risk Management Award” werd hem in 2009 hiervoor toegekend.

Expert