Print
Gedragspatronen bij doofheid voor risicowaarschuwingen – Patronen van dynamiek in de relatie tussen managers en interne auditors
expand article infoArno Nuijten§, Mark van Twist|, Cokky Hilhorst#
‡ Erasmus Schoof of Accounting & Assurance, Rotterdam, Netherlands
§ Open University Netherlands, Heerlen, Netherlands
| NSOB, Den Haag, Netherlands
¶ Erasmus University, Rotterdam, Netherlands
# Nyenrode University, Breukelen, Netherlands
Open Access

Samenvatting

Internal auditors worden geacht aan de bel te trekken als zij constateren dat de organisatie onaanvaardbare risico’s loopt, bijvoorbeeld bij een falend IT-project. Managers luisteren lang niet altijd naar dergelijke risicowaarschuwingen die ze krijgen van hun interne auditafdeling. Soms negeren ze die gewoon volkomen. Dat wordt in de literatuur het deaf effect genoemd. Internal auditors staan dan voor een dilemma: uit het oogpunt van effectiviteit zijn zij geneigd acties te nemen om het deaf effect op te lossen en tegelijkertijd kunnen deze acties de relatie met het management onder druk zetten. In dit artikel beschrijven we de resultaten van een onderzoek bij dergelijke IT-projecten en belichten wijde dynamiek die optreedt in de auditor-managerrelatie als het deaf effect zich manifesteert, en de manager dus niet luistert naar de risicowaarschuwingen van de auditor. Het onderzoek omvat twaalf cases en laat zien dat drie categorieën acties te onderscheiden zijn die auditors nemen wanneer zij geconfronteerd worden met het deaf effect. Ook onderscheiden wij een viertal patronen van dynamiek in de relatie tussen de auditor en de manager.

Trefwoorden

Internal audit effectiviteit, deaf effect, dynamiek, auditor-managerrelatie

Relevantie voor de praktijk

Het onderzoek geeft internal auditors in de praktijk enig inzicht in de acties die zij kunnen kiezen om een deaf effect op te lossen en de mogelijke uitwerking van deze acties op de auditor-managerrelatie.

1. Inleiding

Internal auditors vervullen een belangrijke rol in publieke en private organisaties (Van Twist et al. 2013). Zij geven invulling aan een belangrijke ‘line of defense’ die is bedoeld om de bedrijfsvoering op orde te houden. Dat doen ze bijvoorbeeld door grote IT-projecten te onderzoeken en vast te stellen in hoeverre de organisatie haar risico’s beheerst zodat de projectdoelstellingen kunnen worden behaald. Auditors brengen in beeld welke risico’s er zijn en rapporteren daarover aan de managers die verantwoordelijk zijn voor het onderzochte project. Die doen vervolgens al dan niet iets met deze bevindingen. Internal audit is een professie die omgeven is met standaarden en protocollen. Die moeten ervoor zorgen dat bevindingen zo gevalideerd en objectief mogelijk tot stand komen om discussie over de uitkomsten te vermijden.

Tegelijkertijd is deze scherp omschreven beroepspraktijk bepaald niet ontdaan van spanningen. Zo is het altijd de vraag of managers bereid zijn om iets doen met de bevindingen die een audit oplevert. In eerder onderzoek naar IT-projecten is vastgesteld dat managers die een risicowaarschuwing krijgen van de auditor soms geneigd zijn om deze gewoon te negeren. In de literatuur staat dit ook wel bekend als het deaf effect (Nuijten 2012; Keil and Robey 2001).

Als managers besluiten om niets te doen met de risicowaarschuwingen die een audit oplevert, zijn vragen te stellen bij de effectiviteit van de internal audit (Lenz and Sarens 2012; Lenz and Hahn 2015). Auditors worstelen in dat licht met hun rol. Enerzijds bestaat die eruit kritisch te staan tegenover de ontwikkelingen in de organisatie, in het bijzonder als vastgesteld wordt dat de organisatie in onvoldoende mate de risico’s van een IT-project beheerst en daarmee niet de beoogde doelen realiseert. Anderzijds is de rol van de internal auditor juist bedoeld is om steunend te zijn voor het management bij het doorvoeren van veranderingen die risico’s beogen te verminderen. Hierdoor moeten ze steeds een balans zien te vinden tussen de positie van partner en opponent, kritisch controleren en constructief adviseren, en een zeker evenwicht zien te bewaren richting het management tussen meebewegen en tegenspel bieden.

In dit artikel belichten wij de probleemstelling waar internal auditors zich voor gesteld zien als zij worden geconfronteerd met een deaf effect-situatie: welke acties te nemen om het deaf effect op te lossen en tegelijkertijd de relatie met het management te bewaren.

Dit artikel is als volgt gestructureerd. In hoofdstuk 2 beschrijven wij de theoretische inkadering die de relatie tussen internal auditors en managers typeert. De rol van de internal auditor binnen de organisatie is gestoeld op twee verschillende denkmodellen. Dit vertaalt zich naar de relatie tussen auditors en managers. In hoofdstuk 3 beschrijven we de onderzoeksmethodologie die wij hebben gehanteerd om in kaart te brengen welke acties internal auditors hanteren als zij worden geconfronteerd met een deaf effect-situatie. In hoofdstuk 4 beschrijven wij de drie categorieën acties die internal auditors nemen. Daarnaast beschrijven wij hoe de relatie tussen internal auditors en managers zich ontwikkelt als gevolg van de acties die de internal auditors namen. In hoofdstuk 5 bediscussiëren wij de resultaten van ons empirisch onderzoek en vertalen deze naar implicaties voor de praktijk van internal audit en onderzoek.

2. Theoretische inkadering

2.1 Het principal agent-model versus het stewardship-model

De kritisch controlerende en constructief adviserende relatie tussen auditors en managers kan worden geconceptualiseerd op basis van een tweetal tegengestelde modellen (vgl. Nuijten 2012; Van Twist et al. 2013). Als eerste bestaat een klassieke conceptualisering met behulp van het ‘principal agent’-model waarbij de relatie tussen auditors en managers als elkaar tegenwerkend wordt beschouwd. De rol van auditors is ervoor te zorgen dat managers en medewerkers (agents) handelen in het belang van de organisatie en daarmee in het belang van de belangrijkste stakeholders, zoals het bestuur (principal). Omdat dit niet vanzelf het geval is, worden auditors geacht het werk van managers en medewerkers te monitoren en er kritisch over te rapporteren als managers zich niet aan de van tevoren gemaakte afspraken of grenzen houden. Een meer recente conceptualisering die daar enigszins tegenover wordt geplaatst betreft het ‘stewardship’-model. Hierin wordt de rol van auditors ten opzichte van managers (steward) veel meer in termen van onderling partnerschap voorgesteld. De veronderstelling is dat beide dezelfde doelen nastreven en vanuit onderling vertrouwen werken aan open uitwisseling van informatie. De auditor kan de organisatie en de managers helpen om dichter bij de doelen te komen.

Het principal agent-model benadrukt de afstand, het verschil en de hiërarchie in de relatie tussen auditor en manager, terwijl het stewardship-model juist de nabijheid, verwevenheid, het naast elkaar staan en het werken voor hetzelfde doel op de voorgrond plaatst. Elementen van beide modellen zijn in de internal auditpraktijk aan de orde en maken het werk van auditors ingewikkeld en interessant. Immers, elke auditor – en elke manager – moet op zoek naar eigen manieren om invulling te geven aan de onvermijdelijke spanning tussen veronderstellingen die voortvloeien uit het principal agent-model en het stewardship-model. In Tabel 1 worden beide modellen en de kenmerken van deze modellen voor de rol van de auditor weergegeven.

Het principal agent- en het stewardship-model en de rol van de auditor.

Kenmerken Principal-agent- benadering Stewardship-benadering
ORGANISATIE De organisatie is een verzameling van deelbelangen, waarbinnen bestuur en topmanagement (de principaal) enerzijds en calculerende medewerkers en middenmanagement anderzijds (agents) uiteenlopende belangen hebben. De organisatie is erop gericht om maatschappelijke waarde te creëren, waarbij bestuur en topmanagement enerzijds en gemotiveerde medewerkers en middenmanagement anderzijds uiteenlopende invalshoeken hanteren.
INFORMATIEPROBLEEM De vraag is of de principal erop kan vertrouwen dat opportunistisch ingestelde en op eigenbelang gerichte agents doen wat hen is opgedragen. De vraag is of betrokken en intrinsiek gemotiveerde stewards die gericht zijn op het creëren van maatschappelijke waarde zich houden aan vastgestelde kaders.
INFORMATIESTROOM Eenzijdig; er gaan aanwijzingen en kaders naar lagere hiërarchische niveaus in de organisatie vanuit de principal en er gaan rapportages naar hogere hiërarchische niveaus vanuit de agents. Meerzijdig; de invalshoek van de hogere en lagere hiërarchische niveaus ten aanzien van doelen en werkwijzen moeten worden verbonden; stewards moeten niet alleen begrijpen wat ze moeten doen maar vooral ook waarom.
AUDITOR De auditor gaat namens de principal na of de informatie die agents aanleveren volledig en betrouwbaar is en of hun gedrag in overeenstemming is met vastgestelde kaders. De auditor moet ervoor zorgen dat de professionele afwegingen van stewards inzichtelijk worden en dat vastgestelde kaders worden gedeeld en gerespecteerd.
MOGELIJKE VALKUIL VOOR DE AUDITOR De auditor kan overmatig achterdochtig worden en onbedoeld bijdragen aan onnodige bureaucratisering van de organisatie. De auditor kan te veel vertrouwen op de goede bedoelingen van stewards en daardoor onvoldoende weerstand bieden tegen bijvoorbeeld expansiedrift en doelverplaatsing.

2.2 Verschillen in relatieperceptie tussen auditors en managers

Auditors en managers hoeven niet dezelfde ideeën te hebben over de onderlinge relatie. Onderzoek van Davis et al. (1997) laat zien dat er verschil kan zijn in de wijze waarop verschillende actoren hun onderlinge relatie percipiëren; de ene actor kan deze zien als partnerschap terwijl deze omgekeerd kan worden gepercipieerd vanuit de positie als opponent. Auditors en managers hoeven zich dan ook niet beiden als partners (stewardship-model) of beiden als opponenten (principal agent-model) te gedragen. Het kan heel goed zo zijn dat een auditor ervoor kiest om zich als partner op te stellen terwijl de manager juist een rol als opponent verkiest, of omgekeerd. Hoe auditors en managers zich tegenover elkaar opstellen kan in belangrijke mate verschil maken als het gaat om de effectiviteit in de onderlinge relatie. De wijze waarop managers reageren op auditbevindingen is belangrijk voor de effectiviteit van het professioneel handelen van de auditor, zo blijkt uit omvangrijk empirisch onderzoek in de Italiaanse (D’Onza and Sarens 2018) en Australische (Christopher et al. 2009) context. Het hoeft geen verwondering te wekken dat de relatie tussen auditors en managers nogal gevoelig kan zijn en tot conflicten kan leiden (Sakka and Manita 2011). In Tabel 2 zijn de verschillende relatiepercepties tussen auditors en managers en de gevolgen voor eventuele conflicten kort samengevat.

Verschillende relatiepercepties tussen auditors en managers en mogelijk gevolg voor conflict.

Auditor kiest opstelling OPPONENT Auditor kiest opstelling PARTNER
MANAGER KIEST OPSTELLING OPPONENT Verhouding waarbij van beide kanten de ander als opponent wordt beschouwd. Verhouding waarin het gedrag van de manager als onbetrouwbaar en opportunistisch wordt beschouwd.
Wederzijds conflictueuze relatie. Auditor is kwaad en voelt zich verraden.
MANAGER KIEST OPSTELLING PARTNER Verhouding waarin het gedrag van de auditor als onbetrouwbaar en opportunistisch wordt beschouwd. Verhouding waarbij van beide kanten de ander als partner wordt beschouwd.
Manager is kwaad en voelt zich verraden. Wederzijds coöperatieve relatie.

Het door Davis et al. (1997) ontwikkelde model is bruikbaar om te begrijpen wat er gebeurt in de relatie tussen auditor en manager, maar laat de dynamiek die vervolgens ontstaat onbesproken. Onderzoek in de internationale professionele praktijk (Nuijten et al. 2019) laat echter zien dat er geen sprake is van een statische onderlinge relatie maar van een dynamische; er kan sprake zijn van een ontwikkeling in de onderlinge relatie waardoor de opponent al dan niet verandert in een partner, en omgekeerd. Omdat deze relatie niet stabiel is, vraagt inzicht in de relatie tussen auditors en managers juist om zicht op de overgangen tussen de in Tabel 2 onderscheiden kwadranten en om conceptualisering in termen van opeenvolgende gebeurtenissen die een patroon tevoorschijn kunnen brengen. In de praktijk wordt breed onderkend dat auditors bij de invulling van hun rol niet moeten kiezen tussen de rol van opponent of partner, maar juist voor de uitdaging staan om deze rollen op intelligente wijze te combineren (Schillemans et al. 2018). Auditors moeten enerzijds onderdelen van de organisatie onderwerpen aan kritisch toetsend onderzoek maar anderzijds ook een werkbare, open relatie zien te onderhouden met de managers die voor deze praktijken verantwoordelijk zijn. Dat valt niet mee, zeker wanneer er niet geluisterd wordt naar risicowaarschuwingen van de auditor en het deaf effect zich manifesteert. Zoals bijvoorbeeld in de praktijk van IT-projecten voorkomt als de internal auditor ‘ongelegen’ tot de vaststelling komt dat de organisatie onvoldoende de risico’s beheerst, de beoogde projectdoelen buiten beeld zijn geraakt en het project derhalve bijgestuurd zou moeten worden.

Volgens Keil and Robey (1999) is bij dergelijke IT-projecten sprake van het deaf effect wanneer actoren die in de positie verkeren met voldoende autoriteit om maatregelen te nemen, doof zijn wanneer er signalen zijn dat er sprake is van problemen. Experimenteel onderzoek in de context van IT-projecten laat zien dat de geloofwaardigheid die aan de auditor wordt toegekend (Cuellar et al. 2006) en de rolomschrijving van de auditor (Lee et al. 2014), het optreden van dit deaf effect beïnvloeden. Onderzoek van Nuijten et al. (2016) laat zien dat het type relatie – opponent of partner – tussen de auditor en manager invloed heeft op het optreden van het deaf effect.

Ondanks dit onderzoek naar de factoren die bijdragen aan het optreden van dit effect, is er nog nauwelijks onderzoek gedaan naar wat er gebeurt nadat het deaf effect is opgetreden, en hoe dat weer de verdere ontwikkeling van de relatie tussen auditors en managers beïnvloedt. In dit onderzoek richten wij ons dan ook hierop. De vraag die we centraal stellen in dit onderzoek: Welke acties ondernemen auditors nadat ze constateren dat er sprake is van het deaf effect? En hoe is de dynamiek in de ontwikkeling van de relatie tussen de auditor en manager die daaruit voortvloeit? Wij zullen in dit onderzoek de ontwikkeling in de relatie tussen auditor en manager als gevolg van het deaf effect aan de hand van verschillende te onderscheiden patronen in beeld brengen.

3. Onderzoeksmethodologie

De onderzoeksopzet bestond uit het uitvoeren van een literatuurstudie, datacollectie en data analyse. Omdat er nog niet veel bekend is over de dynamiek in de relatie tussen auditors en managers hebben we gekozen voor de opzet van een exploratieve meervoudige case study. In ons onderzoek zijn cases van IT-projecten geselecteerd waarin het deaf effect zich volgens de auditor heeft voorgedaan. De internal auditors in ons onderzoek hadden 10–25 jaar werkervaring en bekleedden veelal de positie van (senior) auditor manager of chief audit executive. We belichten in ons onderzoek dus de optiek van de internal auditor en diens handelwijze alsmede (terugkijkend) de effecten daarvan op de auditor-managerrelatie.

Om betrouwbaarheid van de dataverzameling te verzekeren, is gebruik gemaakt van een caseprotocol met gestandaardiseerde aanwijzingen over de introductie van het onderzoek, over de omschrijving van het deaf effect, en over de te stellen interviewvragen. Conform het interviewprotocol is steeds een serie open vragen gesteld om informatie te verkrijgen over de verhouding tussen auditor en manager voordat het deaf effect optrad en de acties die de auditor vervolgens ondernam en hoe de verhouding tussen auditor en manager zich verder ontwikkelde nadat het deaf effect al dan niet was verholpen. Deze relaties zijn beschreven in Tabel 3.

Relaties tussen auditors en managers.

Definitie
PARTNERS De auditor is van oordeel dat de relatie met de manager als coöperatief te kenmerken valt.
OPPONENT De auditor is van oordeel dat de relatie met de manager als conflictueus te kenmerken valt.

Om het hele verhaal te verkrijgen achter het incident is ook gevraagd hoe de manager reageerde op de acties van de auditor. De opnames van de interviews zijn verwerkt tot getranscribeerde teksten die een basis konden bieden voor codering. Hierbij is de multi-coding procedure gebruikt in overeenstemming met de richtlijnen van Saldana (2009) voor kwalitatief onderzoek.

4. Empirische bevindingen

4.1 Individuele case analyses

Twaalf cases van deaf effect bij IT-projecten zijn onderzocht, waarvan drie in de publieke sector, vier bij verzekeringsorganisaties, drie bij banken en twee in het publiek transport. In deze omgevingen is sprake van omvangrijke IT-projecten en heeft de internal auditfunctie een geformaliseerde rol in de organisatie om risico’s te signaleren die op gespannen voet staan met het behalen van de organisatiedoelstellingen. Tabel 4 laat een beknopt overzicht zien van de karakteristieken van de onderzochte projecten. Steeds is kort getypeerd in welke organisatie de auditor werkzaam was, hoe zijn relatie met de manager was voorafgaand aan het optreden van het deaf effect, wat de belangrijkste acties zijn die hij ondernam om dit doorbreken en hoe de relatie met de manager zich na afloop van die acties laat karakteriseren.

Overzicht zien van de karakteristieken van de onderzochte projecten.

Case Beschrijving Case Relatie voor deaf effect Vervolgacties door auditor Relatie na vervolgacties auditor
1 Een auditor werkzaam bij de overheid krijgt als reactie van de manager dat hij zijn risicowaarschuwing niet accepteert en ook niet zal opvolgen. Partners De auditor kiest ervoor om eerst aanvullende informatie te verschaffen en nadere uitleg te geven. Ook licht de auditor maatregelen toe die helpt bij het beter in kaart brengen en beheersen van het belangrijkste risico. Omdat de manager uiteindelijk toezegt de aanbevelingen op te volgen, past de auditor het advies aan, waardoor het minder scherp wordt. Partners
De manager doet wat de auditor vraagt en kan met beperkter gezichtsverlies door.
2 Een auditor werkzaam bij een zorgverzekeraar krijgt als reactie van de manager dat hij zijn risicowaarschuwing niet accepteert en ook niet zal reageren. Partners De auditor kiest ervoor om eerst aanvullende informatie te verschaffen en nadere uitleg te geven en switcht als dat niet helpt naar informele communicatie en een opstelling die niet het slechte presteren voorop stelt maar ruimte biedt om verbeteringen door te voeren. Partners.
De manager kan zonder gezichtsverlies door.
3 Een auditor werkzaam bij een verzekeringsmaatschappij krijgt te maken met een manager die weigert om met hem een vergadering te beleggen over zijn risicowaarschuwingen. Partners De auditor kiest ervoor om niet alleen aanvullende informatie te verschaffen en nadere uitleg te geven, maar ook om naar de baas van de manager te gaan en de manager daarmee te provoceren. Opponenten
De manager wordt vervangen.
4 Een auditor werkzaam bij de overheid krijgt te maken met een manager die dreigt dat negatieve uitkomsten tot problemen voor de auditor zullen leiden. Opponenten De auditor kiest ervoor om informele communicatie te beëindigen, de audit conform plan af te ronden en de aanbevelingen beperkt te verzachten. Opponenten
De manager is niet bereid te doen wat de auditor vraagt.
5 Een auditor werkzaam bij een verzekeringsmaatschappij krijgt te maken met een manager die hem geen nadere informatie wil verschaffen over de risico’s waarover hij moet rapporteren. Partners De auditor dreigt er eerst mee om de allocatie van middelen te blokkeren, omdat de audit-opinie onderdeel uitmaakt van die procedure. De auditor schakelt vervolgens een vertrouwde derde in om de kwestie organisatiebreed op te lossen. Partners
De manager kan zonder gezichtsverlies door.
6 Een auditor werkzaam bij een bank krijgt te maken met een manager die tijdens een vergadering meermaals weigert te spreken over de risico’s waar de auditor voor waarschuwt. Partners De auditor kiest er met name voor om aanvullende informatie te verschaffen en ‘belerend’ nadere uitleg te geven. Opponenten.
De manager ervaart ernstig gezichtsverlies.
7 Een auditor werkzaam bij een vervoersmaatschappij krijgt te maken met een manager die weigert zijn rapport te accepteren en suggereert om maar bij andere business-units onderzoek te gaan doen. Partners De auditor kiest ervoor om eerst aanvullende informatie te verschaffen en nadere uitleg te geven en de manager dreigend te provoceren. Als dat niet helpt volgt hij de procedures en informeert de belangrijkste stakeholders formeel over het slechte presteren. Opponenten
De manager is niet bereid te doen wat de auditor vraagt.
8 Een auditor werkzaam bij een vervoersmaatschappij krijgt te maken met een manager die vindt dat de verkeerde risico’s in beeld zijn en suggereert om maar naar andere projecten te kijken. Opponenten De auditor kiest ervoor om eerst aanvullende informatie te verschaffen en nadere uitleg te geven en de manager dreigend te provoceren. Als dat niet helpt volgt hij de procedures en informeert de belangrijkste stakeholders over het slechte presteren. Opponenten
De manager is niet bereid te doen wat de auditor vraagt en leidt gezichtsverlies bij de stakeholders.
9 Een auditor werkzaam bij een bankfiliaal krijgt geen gehoor bij de manager als hij rapporteert over risico’s. Partners De auditor kiest ervoor om eerst aanvullende informatie te verschaffen en nadere uitleg te geven en de manager dreigend te provoceren. Als dat niet helpt volgt hij de procedures en kiest ervoor om alleen nog formeel te communiceren. Opponenten.
De manager gaat met vervroegd pensioen.
10 Een auditor werkzaam bij een bank krijgt te maken met een manager die niet lastig gevallen wil worden en geen zin heeft om de zorgen van de auditor te bespreken. Opponenten De auditor kiest er eerst voor om een externe dreiging te introduceren. Vervolgens volgt hij de procedures en informeert de belangrijkste stakeholders formeel over het slechte presteren Opponenten
De manager wordt vervangen.
11 Een auditor werkzaam bij de overheid krijgt te maken met een manager die dreigt dat de auditor geen verstand van zaken heeft en aanbevelingen niet te accepteren. Partners De auditor kiest ervoor om aanvullende informatie over de aanbevelingen te verschaffen. Partners
De manager is bereid te doen wat de auditor vraagt.
12 Een auditor werkzaam bij een verzekeringsmaatschappij krijgt geen reactie van de verantwoordelijk manager over de risico’s waar hij over rapporteert. Partners De auditor volgt de procedures en informeert de belangrijkste stakeholders formeel over het slechte presteren Opponenten.
De manager wordt vervangen.

Bij bestudering van de cases, observeren wij drie verschillende categorieën acties die auditors ondernemen nadat ze vaststellen dat er sprake is van het deaf effect:

  1. De eerste categorie acties die auditors ondernemen is erop gericht om de manager onder druk te zetten en zo alsnog te laten luisteren. Dit gebeurt op verschillende manieren:

    Allereerst door de manager ‘de les te lezen’ en te blijven drammen met informatie te verschaffen of nadere uitleg te geven of nieuwe notities te schrijven. Ook komt het voor dat auditors de manager ‘provoceren’, bijvoorbeeld door het verwijt te maken een schande voor de organisatie te zijn of door te vragen of alle andere projecten onder zijn leiding ook zoveel tekortkomingen kennen. Nog verdergaand is dat de auditor de manager ‘passeert’ en contact zoekt met hogere leidinggevenden om zo alsnog af te dwingen dat er geluisterd wordt naar de risicowaarschuwingen. De overtreffende trap daarvan is dat de auditor de manager ‘angst aanjaagt’ en dreigt om de rapportage onder de aandacht te brengen van interne en externe toezichthouders. Deze acties zijn niet zozeer gebaseerd op de zuivere uitoefening van de rol als internal auditor (volgens een principal-agent- of stewardship-opvatting), maar meer om de manager onder druk te zetten.

  2. De tweede categorie acties die auditors ondernemen is erop gericht om (vanuit een principal-agent-opvatting van de eigen rol) de procedures te handhaven en vast te houden aan de verwachtingen die de belangrijkste stakeholders hebben van het werk dat door de auditor wordt verricht. Daarbij valt bijvoorbeeld te denken aan het daadwerkelijk informeren van het hogere management of interne en externe toezichthouders. Ook het openbaar maken van het inhoudelijk oordeel over de aangetroffen risicosituatie door de auditor, of het formeel op schrift stellen van de bedenkingen die een auditor heeft over de opstelling van de manager maken onderdeel uit van dit type acties.
  3. De derde categorie acties die auditors ondernemen is erop gericht om (vanuit een stewardship-opvatting van de eigen rol) het belang van de bekritiseerde manager te dienen, dus om ervoor te zorgen dat hij geen gezichtsverlies lijdt. Dit kan door bijvoorbeeld het vragen van advies aan derden, bijvoorbeeld een collega van de manager in kwestie die de positie van de manager beter begrijpt. Het kan gaan om een veranderde framing van de boodschap, waarbij bijvoorbeeld niet het slechte presteren voorop staat maar de ruimte voor verbetering. Ook een actie in deze is om te switchen van formele naar informele communicatie, dus een moment vinden om bij te praten buiten de officiële kanalen om.

4.2 Cross-case analyse

Uit de analyse van de verschillende cases komt naar voren dat er verschillende patronen te onderscheiden zijn in de dynamiek van de relatie tussen auditors en managers. Om dieper inzicht te krijgen in deze patronen hebben wij nader gekeken naar de sequentie die er is terug te vinden in de acties die auditors ondernamen. Op basis van een nadere beschouwing van onze data kunnen wij vier patronen onderscheiden. Deze zijn weergegeven in Tabel 5. Opvallend is dat wij in de door ons geanalyseerde cases geen situaties hebben aangetroffen waarin de relatie van opponent naar partner is overgegaan. In de cases waarin de relatie van partner naar opponent gaat via de opstelling van de auditor, blijkt aanvullend dat auditors achteraf vaak verbaasd staan over de reactie van de manager op hun acties. Ze verwonderen zich er vooral over hoe verschillend de manager hun onderlinge relatie beschouwde: auditors beschouwen zichzelf vaak als partner en komen er dan achter dat zij door de manager niet als zodanig worden gezien. Juist het besef van deze verschillende kijk op de relatie maakt volgens de auditors vaak dat ze bij het optreden van het deaf effect overgaan naar een andere rolinvulling.

Overzicht zien van de patronen in de relatie tussen auditor en manager.

Patronen Sequentie van acties door auditor Cases
Patroon 1: De auditor onderneemt actie om de manager alsnog te dwingen te luisteren en doet soms nog een beroep op formele procedures en bevoegdheden in een poging dat af te dwingen. De onderlinge verhouding komt daardoor stevig onder druk te staan. 1, 2, 5 en 11
Partnerschapsrelatie onder druk, maar uiteindelijk behouden Daarop volgt een periode van verwarring waarin de auditor zichzelf afvraagt of hij zich nu in het vervolg van het proces moet blijven opstellen als partner of moet kiezen voor de positie van opponent. Daarna kiest de auditor ervoor om te bezien hoe de relatie eventueel te herstellen is, door zich te verplaatsen in het gezichtspunt van de manager en uiteindelijk actie te ondernemen die erop gericht is te voorkomen dat de manager gezichtsverlies hoeft te ervaren.
Patroon 2: De auditor kiest over het algemeen niet voor acties die erop gericht zijn gezichtsverlies bij de manager te voorkomen. In plaats daarvan wordt een beroep gedaan op acties die de intentie hebben om de manager te dwingen alsnog te luisteren en de relevante stakeholders te informeren over de ontstane situatie en de onkunde of onwil aan de kant van de manager. 4, 8 en 10
Opponentenrelatie verdiept zich Deze acties van de auditor om de opstelling van de manager te doorbreken leiden tot een verdere verdieping van de toch al oppositionele verhoudingen.
Patroon 3: De auditor neemt acties om de manager alsnog te laten luisteren naar zijn risicowaarschuwingen. Hierdoor wordt een patroon ingezet waarin de relatie verslechtert en zich uiteindelijk ontwikkelt tot twee opponenten die tegenover elkaar komen te staan. 6 en 7
Partners ontwikkelen zich tot opponenten – via opstelling manager Er ontstaat een periode van verwarring over de onderlinge verhouding aan de kant van de auditor (is dit nu een coöperatieve relatie of niet?). De auditor stelt vast hoe de manager zich ineens heel anders gaat opstellen en zich als opponent gaat gedragen. Het dringt dan langzaam tot de auditor door dat hij zijn eigen coöperatieve opstelling moet opgeven omdat hij anders positie en gezag verliest en niet effectief is in zijn handelen.
Patroon 4: De auditor neemt acties om de manager alsnog te laten luisteren naar zijn risicowaarschuwingen. Hierdoor ontwikkelt de relatie zich tot twee opponenten die tegenover elkaar staan. 3, 9 en 12
Partners ontwikkelen zich tot opponenten – via opstelling auditor Deze verslechtering van de relatie verloopt via een ander patroon dat zich kan aftekenen na een periode van verwarring over de onderlinge verhouding (is dit nu een coöperatieve relatie of niet?). Dan is het niet de manager die als eerste ervoor kiest om de partnerschapsrelatie op te geven voor een relatie als opponenten maar juist de auditor die daar via zijn acties aanleiding toe geeft. De auditor kiest er dan bewust voor om zich terug te trekken op zijn formele positie, met een nadruk op vastgelegde procedures en bevoegdheden om de relevante stakeholders officieel te informeren over de ontstane situatie en de onkunde of onwil aan de kant van de manager.

5. Discussie & implicaties voor theorie en praktijk

In dit onderzoek hebben wij twaalf cases van IT-projecten op een rij gezet waarin zich het deaf effect heeft voorgedaan. We proberen zo beter te begrijpen welke acties auditors ondernemen na het optreden van het deaf effect. Ook hebben we onderzocht welke gevolgen dat weer heeft voor de verhouding tot het management waarover ze kritisch moeten rapporteren.

Ons onderzoek laat zien dat auditors drie categorieën acties ondernemen nadat ze zich geconfronteerd zien met het deaf effect: acties die erop gericht zijn om de manager alsnog te laten luisteren, acties om formele procedures aan te roepen en te voldoen aan de formele verwachtingen die samenhangen met de rol van de auditor en acties die beogen om het belang van de manager – en dan met name het voorkomen van gezichtsverlies – te betrekken in de eigen afwegingen. Volgens ons onderzoek zijn acties om te forceren dat de manager alsnog luistert niet effectief om het deaf effect te doorbreken. Deze acties zijn veelal ingegeven om ‘gelijk te krijgen’. Acties om formele procedures aan te roepen, ingegeven door een rol van de internal auditor vanuit een principal-agent-opvatting, blijken wel effectief om het deaf effect te doorbreken maar leiden tot een auditor-managerrelatie als opponenten. Acties die (vanuit een stewardship-opvatting over de rol van de internal auditor) beogen om het belang van de manager te dienen bleken in veel gevallen ook effectief om het deaf effect op te lossen. Ons onderzoek suggereert dat deze acties tevens als positief resultaat hebben dat ze ertoe bijdragen de relatie tussen auditor en manager goed te houden of zelfs te verbeteren.

Aanvullend hebben wij in ons onderzoek vier patronen kunnen herleiden in de ontwikkeling van de relatie tussen auditor en manager (zie Tabel 5). Ons onderzoek suggereert dat het eerste patroon, het kunnen behouden van de partnerschapsrelatie, een bemoedigend signaal afgeeft voor auditors. Het maakt duidelijk dat een tijdelijke spanning op de onderlinge relatie niet altijd hoeft te resulteren in een blijvende verslechtering, en dus ook niet uit de weg hoeft te worden gegaan. Het tweede patroon, het verdiepen van de opponentenrelatie, maakt duidelijk dat een conflictueuze relatie ook effectief kan zijn. Zelfs al is het werken binnen zo’n relatie niet altijd leuk of plezierig. Het derde patroon, partners ontwikkelen zich tot opponenten via de opstelling van de manager, schetst een patroon die veel auditors niet ambiëren, maar die vanuit hun rol en functie in de organisatie wel met grote regelmaat voorkomt. Gewoon maar volharden in het behoud van een coöperatieve relatie is lang niet altijd effectief; blijven opteren voor partnerschap is soms gewoon geen optie.

Onderzoek naar de effectiviteit van internal audit is niet nieuw en het deaf effect heeft daarbinnen een plaats. Naar patronen in de dynamiek van de relatie tussen auditor en manager is, voor zover ons bekend, nog niet gepubliceerd, en zeker niet als het gaat om de vraag wat er gebeurt als het deaf effect optreedt. Dergelijk onderzoek is belangrijk omdat de auditor niet effectief is wanneer hij dit effect niet kan doorbreken. Het onderzoek waarvan in dit artikel verslag is gedaan beoogt op verschillende manieren bij te dragen aan wetenschappelijk inzicht over de internal auditfunctie. Ten eerste leert het ons meer over de effectiviteit van het auditvak. Er is al vaker opgeroepen tot onderzoek dat kan bijdragen aan een beter begrip van de wijze waarop auditors acceptatie kunnen krijgen voor de risicowaarschuwingen die zij afgeven aan managers. Daarbij is in het bijzonder opgeroepen tot onderzoek naar momenten waarin auditors worstelen met hun eigen positie en het conflict moeten aangaan met de managers over wie ze rapporteren (Lenz and Hahn 2015). Ten tweede is veel onderzoek naar de ontwikkeling in de verhouding tussen auditor en manager gebaseerd op laboratoriumexperimenten in gecontroleerde settings. In ons onderzoek zijn we juist op zoek gegaan naar praktijksituaties. Ons onderzoek biedt ruimte en geeft richting aan vervolgonderzoek.

Het onderzoek beoogt ook bij te dragen aan inzicht in de internal auditfunctie voor de praktijk. Het omgaan met het deaf effect is een van de belangrijkste uitdagingen waar auditors zich voor gesteld zien als het gaat om het verder brengen van de auditprofessie: niet alleen voor de effectiviteit van het eigen handelen, maar ook voor het ontwikkelen van productieve onderlinge verhoudingen met de manager die met hun bevindingen aan de slag moet. Meer zicht op de dynamiek in de relatie tussen auditor en manager is daarvoor behulpzaam. Alles bijeen genomen laat ons onderzoek zien dat er meer is aan het werk van de auditor dan het leveren van inhoudelijke kwaliteit. Ook relationele acties ten opzichte van de manager tellen mee als het gaat om de effectiviteit van zijn werk. Meer studie is volgens ons gewenst op dit belangrijke en nog onderbelichte onderzoeksveld.

Dit onderzoek kent ook beperkingen. Een eerste beperking van dit onderzoek is dat we hebben gekozen voor het oogpunt van de auditor. We hebben gevraagd naar situaties waarin vanuit het perspectief van de auditor het deaf effect is opgetreden, welke acties zijn ondernomen, en hoe volgens de auditor de relatie met de manager zich vervolgens ontwikkelde. Dit zou ook een mooie vraag zijn voor vervolgonderzoek. Juist de verschillen in perceptie op de onderlinge verhouding zouden wel eens een belangrijke driver kunnen zijn van dynamiek. Verdieping is mogelijk door ook het perspectief van de manager op de cases te betrekken.

Een tweede beperking vormt ook het beperkte longitudinale karakter van ons onderzoek: we hebben de auditor en de manager niet over langere tijd gevolgd, maar zijn uitgegaan van het beeld dat een auditor hiervan op zeker moment in de tijd had. Juist ook door de relatie tussen een auditor en een manager over langere tijd te volgen en te kijken hoe verschillende gebeurtenissen hierop inwerken kan een dynamisch perspectief worden geschetst van de veranderende verhoudingen en hoe dat gevolgen heeft voor de effectiviteit van internal audit.

Als laatste is in ons onderzoek alleen gekeken naar twaalf cases in grote Nederlandse organisaties. Wellicht kan door het betrekken van buitenlandse organisaties nog zicht ontstaan op heel andere patronen in de dynamiek, bijvoorbeeld een situatie waarin de relatie tussen auditor en manager zich ontwikkelt van een opponentiële relatie naar een echt partnerschap. In onze cases hebben we dit patroon niet kunnen vaststellen. Onderzoek naar de mogelijke manifestatie en uitwerking hiervan lijkt ons voor de ontwikkeling van de auditprofessie erg relevant.

In haar streven om toegevoegde waarde te bieden aan de beheersing en monitoring van risico’s wordt de interne auditfunctie geacht om een goede relatie te onderhouden met het management. Internal auditors zien zich echter voor een probleem gesteld hoe te handelen in deaf effect-situaties, wanneer managers de risicowaarschuwingen van internal auditors naast zich neerleggen. Ons – weliswaar beknopte – onderzoek geeft inzicht in welke categorieën acties internal auditors daarbij hanteren en hoe dit uitwerkt op de auditor-managerrelatie. Onze resultaten belichten daarmee een van de uitdagingen waarvoor internal auditors zich gesteld zien: het balanceren tussen de rol als partner en de rol als opponent van managers.

Prof. dr. Arno Nuijten is bijzonder hoogleraar Behavioral IT Governance aan de Open Universiteit en directeur van het expertisecentrum Behavioral Risk binnen Erasmus School of Accounting and Assurance (ESAA). Van 2012-2017 was hij wetenschappelijk directeur van de IT Auditing & Advisory opleiding aan ESAA.

Prof. dr. Mark van Twist is hoogleraar bestuurs- en beleidsadvisering op het grensvlak van publiek en privaat aan de Erasmus Universiteit Rotterdam en wetenschappelijk directeur van de Internal Auditing & Advisory-opleiding aan Erasmus School of Accounting & Assurance (ESAA). Daarnaast is hij onder meer voorzitter van de Orde van Organisatie Adviseurs (OOA).

Prof. dr. Cokky Hilhorst is hoogleraar Business & IT aan Nyenrode universiteit binnen het Center voor Accounting, Auditing en Control. Zij studeerde Kunstmatige Intelligentie aan de Universiteit Utrecht en promoveerde in Tilburg. Zij werkte voorheen als Director Consulting Technology bij PwC en als hoofd van het Bureau ICT-toetsing.

Literatuur

  • Christopher J, Sarens G, Leung P (2009) A critical analysis of the independence of the internal audit function: evidence from Australia. Accounting, Auditing & Accountability Journal 22 (2): 200–220. https://doi.org/10.1108/09513570910933942
  • Davis JH, Schoorman FD, Donaldson L (1997) Toward a stewardship theory of management. Academy of Management Review 22(1): 20–47. https://doi.org/10.2307/259223
  • D’Onza G, Sarens G (2018) Factors that enhance the quality of the relationships between internal auditors and auditees: Evidence from Italian companies. International Journal of Auditing 22(1): 1–12. https://doi.org/10.1111/ijau.12100
  • Keil M, Robey D (1999) Turning around troubled software projects: an exploratory study of the deescalation of commitment to failing courses of action. Journal of Management Information Systems 15(4): 63–87. https://doi.org/10.1080/07421222.1999.11518222
  • Lee JS, Cuellar MJ, Keil M, Johnson RD (2014) The role of a bad news reporter in information technology project escalation: a deaf effect perspective. ACM SIGMUS database: the DATA BASE for Advances in Information Systems 45(3): 8–29. https://doi.org/10.1145/2659254.2659256
  • Lenz R, Hahn U (2015) A synthesis of the empirical internal audit effectiveness literature and new research opportunities. Managerial Auditing Journal 30(1): 5–33. https://doi.org/10.1108/MAJ-08-2014-1072
  • Nuijten A (2012) Deaf effect for risk warnings – A causal examination applied to information systems projects. ERIM PhD Series – Research in Management. https://repub.eur.nl/pub/34928
  • Nuijten A, Keil M, Commandeur H (2016) Collaborative partner or opponent: how the messenger influences the deaf effect in IT projects. European Journal of Information Systems 25(6): 534–552. https://doi.org/10.1057/ejis.2016.6
  • Nuijten A, Keil M, Sarens G, Van Twist M (2019) Partners or opponents: Auditor-manager relationship dynamics following the deaf effect in information system projects. Managerial Auditing Journal 34(9): 1073–1100. https://doi.org/10.1108/MAJ-02-2018-1811
  • Saldana J (2009) The coding manual for qualitative researchers. Sage Publications (Los Angeles, CA).
  • Schillemans T, Van Twist M, Van der Steen M, De Jong I (2018) New development: Breaking out or hanging on? Internal audit in government. Public Money & Management 38(7): 531–534. https://doi.org/10.1080/09540962.2018.1527574
  • Van Twist M, Van der Steen M, Bouwmans H, Bekkers H (2013) De internal auditor in het publieke domein: Drijfveren en dillemma’s, principes en paradoxen. Boom Lemma (Den Haag).