1. Inleiding
Internal audit als vakgebied is door de jaren heen verrijkt met inzichten vanuit diverse disciplines. Internal auditors hebben niet langer alleen een financiële studieachtergrond. Zo schrijven filosofen, psychologen, antropologen, en ook criminologen, zich in voor de opleiding om de kwalificaties van een internal auditor te behalen. Van Twist and De Korte (2022) verkenden in een eerdere bijdrage voor het MAB de innovaties voor het internal auditvak vanuit het vakgebied van de sociale wetenschappen. In het onderhavige artikel is het vakgebied criminologie gekozen als uitgangspunt en inspiratiebron voor internal auditors. We verkennen hoe criminologie de kennis van internal auditors kan verrijken. De centrale vraag luidt: ‘Wat kunnen internal auditors leren vanuit de criminologie?’
Paragraaf twee bevat een beschrijving van de studie criminologie als startpunt voor het leggen van connectie tussen internal audit en criminologie. In de derde en vierde paragraaf worden twee klassieke theorieën vanuit criminologie uitgelicht: de Routine Activities Theory (RAT) van Lawrence Cohen and Marcus Felson (1979), waarvan Guardianship in Action (GIA) een onderdeel is, en de Differentiële Associatietheorie van Edwin Sutherland (1939). Elke theorie biedt een ander perspectief op het ontstaan van criminaliteit. Kennis over het ontstaan van criminaliteit kan vervolgens weer richting geven aan mogelijke oplossingen. Internal auditors kunnen uit beide theorieën inzichten halen om ‘afwijkend’ gedrag binnen organisaties te verklaren. Deze verklaringen zijn relevant om – zich herhalende – problemen c.q. bevindingen bij de wortel aan te pakken. In paragraaf vijf worden de genoemde theorieën gekoppeld aan voorbeelden uit de internal auditpraktijk, waarbij aanbevelingen worden gedaan voor het gebruik van criminologische kennis in de internal auditpraktijk. De conclusie is opgenomen in paragraaf zes.
2. Criminologie en raakvlakken internal audit
2.1. Criminologie is onafhankelijk en multidisciplinair
Criminologie is een wetenschap die gebruikmaakt van inzichten uit diverse disciplines, zoals de genetica, biologie, psychologie, psychiatrie, sociologie, antropologie en economie, om crimineel of afwijkend gedrag te verklaren (Van Ruller 2001). Wat criminologie onafhankelijk maakt, is dat het zich heeft ontwikkeld als een interdisciplinair vakgebied met een eigen theoretisch kader, methodologieën en onderzoeksperspectieven. Inzichten vanuit de criminologie kunnen bijdragen aan het voorkomen of bestrijden van crimineel of afwijkend gedrag. Hoewel het strafrecht ook deze doelen heeft, staat in de criminologie het ‘waarom’ achter bepaalde gedragspatronen centraal. Criminaliteit is een ‘sociaal construct’: het beschrijft het gedrag dat op een bepaald moment en op een bepaalde plaats als crimineel wordt benoemd (Van Ruller 2001). Criminologie beperkt zich niet alleen tot de delicten zoals opgenomen in het Wetboek van Strafrecht, maar betreft ook ‘afwijkende gedragingen’ of overtredingen van een geldende norm. Denk aan het pesten op werk. Alhoewel dit vaak (nog) niet strafrechtelijk strafbaar is, is het wel een overtreding van een norm, die onderhavig is aan verandering door de tijd heen.
2.2. Criminologie en internal audit
Van Twist and De Korte (2022) beschrijven dat auditors soms een te beperkte focus op regels hebben, die geen recht doet aan de complexe realiteit van de organisatie. Zij pleiten daarom voor het toepassen van inzichten uit diverse disciplines in het auditvakgebied. Een alternatieve manier van onderzoek die zij aandragen is ‘perspectivisch onderzoeken’, waarin een situatie vanuit verschillende kanten wordt bekeken. De kern van dit type onderzoek is dat er aandacht is voor meerdere betekenissen van situaties door meerdere perspectieven (‘referentiekaders’) te gebruiken om een situatie te beschrijven. Dit sluit nauw aan bij de multidisciplinaire benadering die de criminologie hanteert. In de navolgende paragrafen beschrijven we hoe inzichten vanuit de Routine Activities Theory, Guardianship in Action (GIA) en de differentiële-associatietheorie het internal auditvakgebied kunnen verrijken.
Wij hebben deze theorieën gekozen omdat ze ingaan op de omstandigheden die tot ongewenst gedrag leiden. Het gaat om het perspectief van de omgeving in tegenstelling tot, bijvoorbeeld, het individu. De differentiële-associatietheorie gaat nog verder in op het leren binnen organisaties, waardoor kan worden onderzocht waarom bepaalde normen en waarden binnen een organisatie dominant zijn. Juist in de context van organisaties zijn de omgeving en het leren belangrijk, omdat deze bepalen hoe bepaald gedrag tot stand is gekomen. Wat maakt dat er niet, of niet adequaat, wordt ingegrepen? Een intuïtieve ‘oplossing’ voor geconstateerde bevindingen is vaak het toevoegen van meer toezichtslagen (méér guardians, méér beheersmaatregelen). Dat is echter niet altijd de beste oplossing. Wij pleiten voor een bredere blik door – als onderdeel van de internal audit – te analyseren welke ‘criminologische’ factoren tot de bevindingen hebben geleid, zodat aan duurzame oplossingen kan worden gewerkt voor geconstateerde tekortkomingen.
3. Routine Activities Theory en Guardianship in Action
De Routine Activities Theory (RAT) is een criminologische theorie die stelt dat criminaliteit het gevolg is van het samenkomen van de volgende drie elementen:
een gemotiveerde dader;
een geschikt doelwit; en
de afwezigheid van een capabele
guardian (‘voogd’ of ‘toezichthouder’).
Deze elementen vertonen overeenkomsten met de fraudedriehoek, geïntroduceerd door criminoloog Donald Cressey (1953). In die driehoek komen drie elementen samen die een verklaring vormen voor frauduleus handelen: motivatie (‘een gemotiveerde dader’), gelegenheid (‘een geschikt doelwit’ en ‘afwezigheid van een capabele guardian’) en rationalisatie. De klassieke fraudedriehoek gaat uit van de afweging van de dader, maar in dit artikel wordt juist ingegaan op de rol van de (afwezige) guardian. De RAT is ontwikkeld door Cohen and Felson (1979) in hun zoektocht naar een verklaring voor de toename van het aantal misdrijven, met name woninginbraken, in een periode dat de welvaart en sociale zekerheid juist toenamen. In de RAT gaat het om de omstandigheden die tot een misdrijf leiden en niet om de kenmerken van de dader. In het onderzoek van Cohen and Felson (1979) waren de omstandigheden onder meer een toename van het aantal eenoudergezinnen en toegenomen arbeidsparticipatie, waardoor er meer gelegenheid ontstond voor woninginbraken vanwege de afwezigheid van de guardian (de bewoner(s) of buurtbewoners) bij het doelwit (de woning).
Een uitbreiding op de theorie is Guardianship in action (GIA), die eveneens is ontstaan in de context van woninginbraken. Er is sprake van GIA wanneer de guardians: (1) zichtbaar beschikbaar zijn; (2) monitoren; en (3) ingrijpen waar nodig. GIA zoomt specifiek in op de omstandigheid van een aanwezige, capabele guardian. In de context van woninginbraken zijn dit de bewoners en omwonenden van de woning die het doelwit is van een inbraak (Reynald 2011). Aanwezige, capabele guardians zijn ook nodig om regelovertreding binnen bedrijven te voorkomen. Met onderzoek naar de aan- of afwezigheid van capabele guardians kan meer recht worden gedaan aan de complexe realiteit van de organisatie. Het gaat namelijk niet meer alleen om naleving van de regel, maar om de factoren die eraan bijdragen dat wordt ingegrepen op het moment dat een regel niet wordt nageleefd. Alvorens in te gaan op de meerwaarde van kennis over GIA voor de auditor, wordt beschreven wat ervoor zorgt dat guardians in actie komen op basis van het bestaande onderzoek.
3.1. Kenmerken van ‘guardians’
Onderzoek van Reynald (2011) naar guardianship in de residentiële context toont aan dat guardians eerder geneigd zijn om in te grijpen wanneer zij zich verantwoordelijk voelen voor de gemeenschap. In gemeenschappen met sterke sociale banden en gedeelde normen wordt eerder ingegrepen bij (mogelijke) misdrijven dan in gemeenschappen waar minder sociale cohesie is. Sociale cohesie heeft invloed op de bereidheid om in te grijpen ten behoeve van het algemeen belang. Daarnaast speelt de perceptie van de omgeving eveneens een rol. In een goed onderhouden en als veilig ervaren omgeving wordt eerder ingegrepen. Door actieve guardians worden andere guardians ook geactiveerd. Omgekeerd wordt echter niet ingegrepen in situaties van verval of als andere guardians zichtbaar niet ingrepen. Training en fysieke fitheid zijn ook van invloed op het al dan niet ingrijpen door guardians. Guardians die getraind waren in (bijvoorbeeld) zelfverdediging, veiligheid of het verlenen van eerste hulp, waren eerder geneigd om in te grijpen (Reynald 2011). Ingrijpen bij woninginbraken vraagt uiteraard om een ander type ‘training’ dan in de context van organisaties – waar wij in het navolgende verder op ingaan. Maar het principe dat de juiste training kan bijdragen aan het tegenhouden van ongewenst gedrag kan wel een onderdeel zijn van de evaluatie door de interne auditor.
Ook de perceptie van de guardian speelt een rol: het risico voor de eigen veiligheid van de guardian had invloed op het al dan niet ingrijpen door de guardian en de manier van ingrijpen (zelf ingrijpen versus het bellen van de politie of – naar analogie van de organisatie – in hoeverre kunnen leidinggevenden worden aangesproken zonder angst voor represailles?). De beschikbaarheid van middelen om veiligheid te waarborgen, zoals camera’s en alarmsystemen, leidde tot een verhoogd gevoel van veiligheid en daarmee tot een grotere kans op ingrijpen door guardians. Sociale en psychologische mechanismen spelen eveneens een rol. Zo leidt het omstander-effect ertoe dat minder snel wordt ingegrepen als anderen dat ook niet doen (zie ook Felson (2006); Huston et al. (1981)). Ten slotte grijpen guardians eerder in als ze het slachtoffer kennen, vanwege een verhoogd gevoel van verantwoordelijkheid ten aanzien van het slachtoffer (Reynald 2011).
Het GIA-onderzoek is – na de toepassing op woninginbraken – verder uitgebreid naar de rol van guardians in het voorkomen van internetcriminaliteit (Vakhitova et al. (2023); Bossler and Holt (2009)) en seksueel geweld tegen vrouwen (Cook 2018). Ook uit deze onderzoeken blijkt dat de bereidheid om toezicht te houden (‘willingness to supervise’), de capaciteit of de mogelijkheid om daders te detecteren (‘ability to detect’) en de bereidheid om in te grijpen (‘willingness to intervene’) sleuteldimensies van GIA zijn. Deze drie elementen leiden tot vervolgvragen: Wat maakt dat guardians in organisaties bereid zijn om toezicht te houden, in staat zijn om in te grijpen én daar ook toe bereid zijn? Wie zijn de guardians binnen de organisatie en waarop houden zij toezicht?
3.2. Guardians binnen organisaties
De guardians binnen organisaties zijn individuen – of teams – die een rol en verantwoordelijkheid hebben ten aanzien van het overzien en beschermen van verscheidene onderdelen van het bedrijf. De primaire guardians zijn het management (de eerste lijn). Ook de compliancefunctie als guardian springt direct in het oog, gezien haar bijdrage aan het voldoen aan wet- en regelgeving door het bedrijf. De compliance-officer adviseert over – en monitort de naleving van – wet- en regelgeving en interne procedures. De Raad van Bestuur (RvB) is verantwoordelijk voor de onderneming als geheel. De RvB wordt weer gecontroleerd door een Raad van Commissarissen (RvC), toezichthouders en externe accountants. Binnen teams zijn ook guardians te vinden: variërend van teammanagers en quality reviewers tot directe collega’s (‘peers’) of klokkenluiders die de guardian-rol oppakken. De internal auditor beoordeelt als onderdeel van zijn of haar werkzaamheden de rol van guardians in de organisatie. Zo is de auditor verantwoordelijk voor het toetsen van de effectiviteit van de compliancefunctie en beoordeelt hij of zij in hoeverre beheersmaatregelen in de eerste lijn adequaat in opzet zijn en effectief functioneren. Ook binnen de internal auditfunctie zelf zijn er guardians, zoals auditmanagers en -directors, die toezicht houden op werkzaamheden van hun ondergeschikten. Kortom, binnen een organisatie heeft iedereen een rol en verantwoordelijkheid ten aanzien van het overzien en beschermen van de organisatie.
Het is cruciaal dat guardians snel in actie komen. Bij non-compliance binnen organisaties is doorgaans sprake van een glijdende schaal; medewerkers die eenmaal onethisch hebben gehandeld, zijn eerder geneigd om dit vaker te doen. Vooral wanneer het onethische gedrag niet is gecorrigeerd of zelfs beloond (zie Rose et al. (2021); Kaptein (2011); Gino and Bazerman (2009)). Organisaties moeten zich bewust zijn van situaties waarin sprake is van een glijdende schaal, in ieder geval voordat een punt van geen terugkeer is bereikt (bijvoorbeeld het punt waarop guardians niet meer in actie komen). Het leren van mislukkingen en het zo snel mogelijk identificeren en herstellen van glijdende schalen is daarbij van belang (De Cremer and Lemmich 2015).
3.3. Complexiteit van compliancemanagement
Compliancemanagement staat voor de inrichting van de organisatie en de processen die zorgen voor het waarborgen van de naleving van wet- en regelgeving (Huisman 2023). Een reactie op geconstateerde non-compliance is doorgaans een roep om méér compliancemanagement, méér KPI’s, méér rapporteren, méér guardians. Het is echter onbekend in hoeverre compliancemanagement daadwerkelijk bijdraagt aan naleving van wet- en regelgeving (Huisman 2023; Nelson 2021). Dit terwijl er wel enorme investeringen worden gedaan in compliance én te veel compliance ook een schaduwzijde heeft (zie onder anderen Huisman (2023); Kaptein (2023); Nelson (2021)). Zo kunnen te veel of conflicterende regels leiden tot regelovertreding door medewerkers vanuit frustratie of om complexiteit te omzeilen (Kaptein 2011). In het compliancedomein worden de verboden (het daadwerkelijk criminele gedrag) (ofwel het doel) vaak uit het oog verloren in het woud van alle geboden (de wet- en regelgeving). De focus op de regels kan het zicht op het doel belemmeren en ertoe leiden dat medewerkers niet meer zelf nadenken, maar in ‘aanvinken’ verzeilen. Ook wordt door alleen op de regels te focussen niet – of te laat – geacteerd op (nieuwe) vormen van criminaliteit of ongewenst gedrag die nog niet in wetten en regels zijn gevat.
3.4. Toegevoegde waarde voor een internal audit
De internal auditor beoordeelt de beheersing, waarbij wordt onderzocht of wordt geborgd dat doelen worden gerealiseerd met inachtneming van de van toepassing zijnde regels. In lijn daarmee wordt in een reguliere internal audit zozeer of niet alleen vastgesteld of er sprake is van compliance met de regels, maar wordt er ook op zoek gegaan naar dieperliggende oorzaken.
Het soft controls-model van Kaptein (1998) heeft zijn weg inmiddels gevonden in de auditpraktijk. Het is vrij breed bekend dat gedragsbeïnvloedende factoren als helderheid, voorbeeldgedrag, betrokkenheid, uitvoerbaarheid, bespreekbaarheid, transparantie, aanspreekbaarheid en handhaving (en beloning) het realiseren van organisatiedoelstellingen kunnen stimuleren of belemmeren. Het model draagt bij aan het onderzoek naar grondoorzaken van bevindingen. Na een geconstateerde overtreding van de regel wordt bijvoorbeeld onderzocht hoe medewerkers de norm percipiëren als het gaat om de uitvoerbaarheid of helderheid daarvan. Vragen die een auditor kan stellen vanuit de toegelichte criminologische GIA-theorie zijn:
Wie zijn de
guardians?
Voelen de
guardians zich verantwoordelijk voor het naleven van regels? Voor hun team (hoe zijn de onderlinge verhoudingen in het team, zijn er gedeelde normen)? Wat wordt er gedaan bij conflicterende belangen?
Wat zijn de
guardianstructuren (hoe faciliteert de omgeving naleving van de regel(s))? Ervaren ondergeschikten dat er wordt opgetreden door
guardians? Zijn er duidelijk belegde rollen en verantwoordelijkheden? Welke monitoringsmechanismen worden gehanteerd?
In hoeverre is de
guardian in staat om in te grijpen? Welke kennis, training en ervaring heeft de
guardian? Weet de guardian waar hij of zij naar moet kijken en welke escalatiemechanismen er zijn?
In hoeverre vindt de
guardian zelf dat hij kan of moet ingrijpen? Zijn er factoren die maken dat een
guardian niet ingrijpt (bijvoorbeeld een gebrek aan psychologische veiligheid binnen de organisatie)?
Welke middelen waren beschikbaar om de norm na te leven? Bijvoorbeeld: was er voldoende budget, tijd en tooling om de norm adequaat na te leven?
Welke sociale en psychologische mechanismen spelen mogelijk een rol? Is eerder niet opgetreden bij geconstateerde normovertredingen? Klinken er opvattingen in de trant van ‘…dat het geen zin heeft om in te grijpen of je nek uit te steken’?
Niet alleen vragen, maar ook signalen binnen een organisatie dragen bij aan het onderzoek naar de effectiviteit van guardians en guardianstructuren. Opmerkingen, zoals “it’s above my pay-grade” of “als jij het zegt, dan zal het wel zo zijn” geven letterlijk aan dat de bereidheid van de guardian om in te grijpen – om het bedrijf te beschermen – nagenoeg afwezig is. Het heeft geen zin om in te grijpen of verantwoordelijkheid te nemen, want een hogergeplaatste guardian zal de beslissing overrulen. In dat geval helpt het als de interne auditor deze situaties kan herkennen en benoemen, zodat de organisatie met gerichte oplossingen kan komen.
4. Differentiële-associatietheorie
In de jaren ’30 van de vorige eeuw heeft Edwin Hardin Sutherland de differentiële-associatietheorie ontwikkeld. Sutherland is een Amerikaanse socioloog en criminoloog. Naast dat hij de grondlegger is van deze theorie, heeft hij diepgaandere betekenis gegeven aan crimineel gedrag als een sociaal leerproces. De theorie gaat ervanuit dat crimineel gedrag is aangeleerd in sociale interacties. Sutherland werd beïnvloed door de Chicago School of Sociology, die sterk de nadruk legde op de invloed van sociale omgevingen op menselijk gedrag. De theorie van Sutherland was in die tijd baanbrekend, omdat het een sociaal perspectief op criminaliteit bood in plaats van een biologisch of psychologisch perspectief (Bruinsma 1985).
De kern van Sutherlands theorie is dat mensen crimineel gedrag leren door middel van interacties met significante anderen, zoals vrienden, familie of andere personen in hun directe omgeving. Hierbij worden niet alleen de technieken aangeleerd om delicten te plegen, maar ook de motieven, rationalisaties en houdingen die crimineel gedrag rechtvaardigen. Het concept ‘differentiële associatie’ verwijst naar de balans tussen blootstelling aan definities die ongewenst (normoverschrijdend) gedrag ondersteunen versus definities die gewenst gedrag ondersteunen. Als een individu meer wordt blootgesteld aan definities die crimineel gedrag ondersteunen, is de kans groter dat die persoon crimineel gedrag zal (gaan) vertonen.
<italic>Bepalende factoren voor crimineel gedrag</italic>
Een belangrijk concept in de theorie is dat de duur, intensiteit, prioriteit en frequentie van de interacties bepalend zijn voor de kans dat iemand crimineel gedrag ontwikkelt.
Duur: naarmate een individu langer wordt blootgesteld aan een vorm van criminaliteit, neemt de kans toe dat hij of zij crimineel gedrag ontwikkelt.
Intensiteit: hoe sterker de emotionele of professionele band met de bron van een norm of gedraging is, des te groter de kans is dat iemand dit gedrag overneemt.
Prioriteit: vroege en betekenisvolle blootstelling aan een vorm van criminaliteit kan een grotere impact hebben dan latere, oppervlakkige contacten.
Frequentie: hoe vaker een persoon wordt blootgesteld aan een vorm van criminaliteit, des te groter de kans dat de persoon crimineel gedrag kan ontwikkelen (Van Gelder et al. 2013).
Wanneer iemand bijvoorbeeld meer blootgesteld wordt aan attitudes die criminaliteit aanmoedigen dan aan attitudes die dit ontmoedigen, neemt de kans toe dat die persoon crimineel gedrag gaat vertonen (Sutherland 1947).
4.1. Toegevoegde waarde voor een internal audit
De differentiële-associatietheorie biedt internal auditors handvatten om gedrag binnen organisaties niet alleen te beoordelen op uitkomst (compliance of overtreding), maar ook op de sociale interacties die eraan voorafgaan. In tegenstelling tot een benadering waarbij individuele motieven centraal staan, legt deze theorie de nadruk op de omgeving waarin normen worden aangeleerd en gedeeld – een omgeving die de voedingsbodem vormt voor zowel gewenst als ongewenst gedrag.
Gedrag, ook frauduleus of onethisch gedrag, wordt volgens deze theorie niet geboren uit een autonome keuze maar uit herhaalde interactie met anderen. In een organisatiecontext betekent dit dat medewerkers via formele én informele contacten opvattingen ontwikkelen over wat normaal en acceptabel is – óók als dat in strijd is met regels. Hoe vaker, intensiever, en eerder in iemands loopbaan deze ‘definities’ worden gedeeld, hoe sterker hun invloed.
Vragen die een internal auditor kan gebruiken om deze sociale invloeden zichtbaar te maken, zijn onder andere:
Welke normen en waarden worden binnen het team daadwerkelijk uitgedragen?
Wordt er over regels gesproken als ‘iets voor de buitenwereld’ of ‘formaliteit’?
Draagt het management expliciet en actief bij aan het bevorderen van gewenst gedrag binnen de organisatie? Of zijn er andere sleutelpersonen die invloed uitoefenen op groepsnormen?
Worden nieuwe medewerkers op een gestructureerde manier geïntroduceerd in de organisatiecultuur, inclusief ethische normen en waarden?
Is er een vastgelegde procedure voor medewerkers om onethisch gedrag te melden?
Hoe worden nieuwe medewerkers gesocialiseerd? Leren zij vooral wat in het handboek staat, of hoe we het ‘in de praktijk doen’?
Daarnaast kunnen signalen uit informele gesprekken of observaties wijzen op een normverschuiving. Uitspraken als “zo doen we dat hier nou eenmaal” of “iedereen doet het, al jaren” wijzen op een cultuur waarin afwijkend gedrag niet als zodanig meer wordt herkend. In dergelijke gevallen kan het waardevol zijn als de internal auditor niet alleen kijkt naar de formele naleving, maar ook naar de interpretaties van normen binnen teams en afdelingen. Door dit perspectief expliciet op te nemen in het toetsingskader, kunnen audits bijdragen aan het blootleggen van eventuele risico’s die niet direct in regels of procedures zichtbaar zijn, maar wel in gedrag.
5. Praktijkcasus: cultuurscan in het licht van een strategische ontwikkeling
Volgens de differentiële-associatietheorie ontstaat afwijkend gedrag niet spontaan, maar wordt het aangeleerd via blootstelling aan normen en overtuigingen die criminaliteit of onethisch handelen rechtvaardigen. Hoe vaker en intensiever een individu wordt blootgesteld aan dergelijke denkbeelden, des te groter de kans is dat dit gedrag wordt overgenomen. In het vervolg van deze paragraaf beschrijven we een onderzoek waarin een internal auditor de elementen vanuit deze criminologietheorie heeft toegepast om de bevindingen te formuleren waar de opdrachtgever direct mee aan de slag kon.
5.1. Opdracht
De RvB van een kleinschalige semi-private instelling heeft aan de internal auditor de opdracht gegeven om inzicht te geven in de organisatiebrede cultuur. Na een aantal incidenten in het kader van interne beheersing (denk aan het falen van beheersmaatregelen in een aantal financiële processen), vermoedde de RvB dat een informele cultuur van ‘resultaten boven regels’ de naleving van wet- en regelgeving en interne procedures in de weg stond. Met de huidige cultuur zou de organisatie mogelijk onvoldoende in staat zijn om de beoogde strategische doelen te behalen, die meer passen bij een cultuur waar compliance een belangrijk onderdeel van is. De RvB wilde inzicht krijgen in de ‘informele stromen’ binnen de organisatie, en weten aan welke knoppen ze zou moeten draaien om de nodige veranderingen op korte termijn door te voeren. Zij wilde ook graag dat er op een andere manier naar de organisatiecultuur zou worden gekeken; een criminologische kijk zou vernieuwende inzichten kunnen bieden voor de bedrijfsvoering.
Met behulp van focusgroepen en een-op-een interviews is dit onderzoek vormgegeven. Hier zijn, op basis van de opgehaalde percepties, de gedragspatronen uitgefilterd en in de vorm van een rapportage besproken met de RvB.
5.2. Uitkomsten en aanbevelingen
In de cultuurscan is op basis van differentiële-associatietheorie specifiek aandacht besteed aan interacties tussen collega’s onderling en tussen collega’s en leidinggevenden. Op deze manier kon inzicht worden verkregen in het ontstaan – en voortbestaan – van bepaalde gedragspatronen (aangeleerd gedrag). Uit de cultuurscan – met criminologische invalshoek – bleek dat er op bepaalde afdelingen een sterke informele druk bestond om ambitieuze doelen te behalen, ongeacht de regels. Nieuwe medewerkers werden blootgesteld aan collega’s die ‘flexibiliteit’ met de regels normaliseerden. Daarnaast bleek dat de organisatie kenmerken vertoonde van een familiecultuur, waarin loyaliteit en vriendelijkheid centraal staan. Hoewel deze waarden een positieve invloed hebben op de verbinding tussen collega’s, kan té veel loyaliteit en vriendelijkheid er ook toe leiden dat collega’s niet worden aangesproken op gedrag dat in strijd is met de formele regels.
De frequentie, intensiteit en prioriteit van deze interacties versterkten deze norm. De factor ‘duur’ is in de opgehaalde kwalitatieve data niet expliciet naar voren gekomen.
Frequentie: er waren diverse momenten waarop targets werden besproken en regels als belemmerend werden weggezet. Een voorbeeldcitaat dat dit onderschrijft:
“Elke week tijdens onze teambespreking wordt benadrukt dat we soms wat vaker onze creativiteit mogen inzetten om de doelstellingen te halen. Het is inmiddels de norm geworden.”
Intensiteit: collega’s en leidinggevenden, als rolmodellen, spraken met overtuiging over het belang van resultaten boven regels. Een voorbeeldcitaat dat het voorgaande onderschrijft:
“De senior collega’s hier hebben de meeste ervaring en succes. Als zij met volle overtuiging zeggen dat het behalen van een succes soms belangrijker is dan het nauwlettend volgen van iedere letter van een regel, dan neem je dat serieus.”
Prioriteit: medewerkers hadden de perceptie dat succes belangrijker was dan naleving van regels. Een voorbeeldcitaat dat dit onderschrijft:
“Bij de koffieautomaat hoor je vaak dezelfde verhalen over hoe anderen soms wat creatiever met regels omgaan om sneller succes te boeken. Op een gegeven moment ga je het vanzelf normaal vinden. Overigens heb ik het hier niet over fraude.”
De internal auditor adviseerde, in het verlengde van het inzicht in deze informele stromen en de daarin aanwezig risico’s, om ethisch leiderschap te integreren in bestaande trainingsprogramma’s, met specifieke aandacht voor het versterken van een aanspreekcultuur. Zonder duidelijke grenzen en correcties kunnen onethische gedragingen door nieuwe medewerkers als acceptabel worden gezien.
Het onderzoek toonde aan dat het expliciet benoemen van afwijkend gedrag en het bieden van constructieve feedback hierbij cruciaal zijn. De aanbeveling richtte zich daarom op het stimuleren van een aanspreekcultuur.
De differentiële-associatietheorie hielp aldus inzichtelijk te maken hoe normafwijkend gedrag binnen de organisatie werd aangeleerd en verspreid via sociale interacties. Dit maakte het mogelijk om verdieping te zoeken in de onderliggende oorzaken, zoals groepsloyaliteit en de normalisering van flexibiliteit ten opzichte van regels. Hierdoor kon de internal auditor aanbevelingen doen die gericht waren op gedragsverandering, zoals het versterken van ethisch leiderschap en een aanspreekcultuur, waardoor de RvB interventies kon implementeren die zich richtten op sociale interacties.
6. Conclusies
Criminologen kijken niet alleen naar de overtreding van de norm, maar ook naar de redenen waarom de norm al dan niet is nageleefd. Ook de internal auditor zou niet moeten stoppen bij het vaststellen of het juiste proces is doorlopen en of een beheersmaatregel effectief is, maar moeten kijken naar grondoorzaken van gedrag als zaken niet goed gaan.
In dit artikel zijn twee belangrijke criminologische theorieën beschreven, die als inspiratie kunnen worden gebruikt voor het opstellen van het toetsingskader om die grondoorzaken te onderzoeken.
Met een onderzoek naar de effectiviteit van guardianstructuren kan de effectiviteit naar de beheersing van de doelen of borging van het succes van een proces of afdeling worden versterkt. Ook kan worden voorkomen dat de natuurlijke reactie in gang wordt gezet om méér toezichtslagen toe te voegen of bestaande lagen te herstructureren. Het aanbrengen van meer toezichtslagen betekent namelijk niet per definitie een betere beheersing. Het kan zelfs het omgekeerde effect hebben. Met een onderzoek naar de effectiviteit van guardianstructuren kan meer recht worden gedaan aan de complexe realiteit van de organisatie. Het gaat niet alleen over de overtreder van de norm, over de kenmerken van de organisatie, maar óók over de handhaver van de norm in het licht van de kenmerken van de organisatie.
De differentiële-associatietheorie kan internal auditors een sociaalpsychologisch instrument bieden om gedragspatronen te doorgronden en organisatieculturen effectiever te evalueren. Deze theorie biedt namelijk waardevolle inzichten in hoe gedrag, inclusief frauduleus en onethisch gedrag, wordt aangeleerd via sociale interacties. Het benadrukt dat normen en waarden binnen een organisatie sterk worden beïnvloed door de frequentie, duur, intensiteit en prioriteit van interacties met collega’s, leidinggevenden en andere significante personen.
Kortom, de meerwaarde van een criminoloog als internal auditor ligt in het vermogen om beter te kijken naar de beheersing en borging van doelen en verder te kijken dan alleen de naleving van processen en beheersmaatregelen, door de sociale en culturele dynamieken binnen een organisatie diepgaand te onderzoeken. Met inzichten uit criminologische theorieën kan de internal auditor blootleggen hoe normen worden aangeleerd, overtreden of gehandhaafd. Op die manier draagt de internal auditor bij aan een beter begrip van een organisatiecultuur en daarmee aan een effectievere beheersing van de risico’s en doelen van de organisatie.
S. Vrubleuskaya MSc RO – Svetlana is afgestudeerd criminologe en zelfstandige op het gebied van internal audit en risicomanagement, met een focus op cultuur en gedrag. Zij is daarnaast Head of Internal Audit bij Finom Payments en gastdocente van het vak Behavioural Controls aan de Erasmus Universiteit.
E. Bell MSc, LL.M. – Evelyn is afgestudeerd criminologe en Director Integrity & Compliance bij KPMG. In deze rol adviseert zij organisaties over het versterken van hun compliance- en integriteitsprogramma’s. Evelyn heeft diverse financiële instellingen ondersteund met het verbeteren en versterken van hun financial crimes complianceprogramma.