De 6 stappen van soft controls in risicomanagement

In risicomanagement ligt de focus veelal op hard controls: de tastbare, harde elementen in een organisatie zoals structureren, systemen, procedures en protocollen. Een goed begin, maar organisaties die écht grip willen krijgen op risico’s, hebben ook aandacht voor de zachtere elementen, ofwel soft controls.

Externe en interne risico’s beheersen

Uit de Global Risk Landscape 2019 van BDO blijkt dat organisaties met steeds meer nieuwe risico’s worden geconfronteerd. Ze dreigen de aandacht voor ‘traditionele’ risico’s te verliezen. Bovendien wordt het risicolandschap steeds complexer, omdat de wereld om hen heen steeds sneller verandert. En niet alleen de externe risico’s nemen toe, maar in de afgelopen jaren hebben zich ook allerlei problemen en bijkomende schades voorgedaan door risico’s binnen organisaties. Het is daarom essentieel dat een organisatie haar voelsprieten heeft uitstaan voor zowel de externe als de interne omgeving.

Soft controls dragen bij aan afname risico’s

De toename van risico’s en het voorkomen van fraudes en grote problemen hebben gezorgd voor een toename in wet- en regelgeving en strikter risicomanagement. Deze maatregelen kunnen bijdragen aan een afname van de risico’s en de bijbehorende gevolgen. Dit is een goed begin, maar om als organisaties écht grip te krijgen op risico’s, zonder te verzanden in een oerwoud aan harde beheersmaatregelen, dient er ook aandacht te zijn voor de zachtere elementen. Zo is het belangrijk dat medewerkers weten wat de organisatie van ze verwacht. Als management wil je dat collega’s elkaar aanspreken op ongewenst gedrag en dat ze acteren in lijn met de visie en strategie van de organisatie. Deze vormen van gedrag zijn voorbeelden van goed werkende ‘soft controls’.

Soft controls bepalen hoe mensen met elkaar omgaan

Soft controls zijn de minder tastbare elementen in de organisatie, de ongeschreven regels, die bepalen hoe mensen met elkaar omgaan. Soft controls zijn in elke organisatie aanwezig, de manier waarop ze werken, verschilt echter tussen organisaties. Door de gerichte inzet van soft controls kan een cultuur ontstaan waarin goed gedrag wordt gestimuleerd en ongewenst gedrag, zoals het overtreden van regels, wordt ontmoedigd.

Methodieken en instrumenten

Voor een goede risicobeheersing zijn hard controls én soft controls onlosmakelijk aan elkaar verbonden. Een goede balans tussen die twee is essentieel. Voor deze balans bestaat nog geen blauwdruk, omdat die balans afhankelijk is van de specifieke kenmerken van uw organisatie en van de groeifase waarin uw organisatie zich bevindt. Wel bestaan er instrumenten en methodieken om de werking van soft controls in kaart te brengen, te integreren in uw risicomanagement en ten slotte te verbeteren. 

Soft controls in goed risicobeheer: 6 stappen

In onderstaande afbeelding zijn de verschillende stappen van goed risicobeheer volgens BDO weergegeven. In iedere stap kan aandacht worden gegeven aan soft controls.

1. Risico-governance: hebben we verantwoordelijkheden binnen de gehele organisatie belegd bij de juiste personen?
2. Risico-identificatie: welke risico’s zien we in de organisatie? Zien we de cultuur en het gedrag van medewerkers ook als een risico?
3. Risico-assessment: welke impact hebben de geïdentificeerde risico’s? Wat is de rol van de soft controls hierin? Zien we dat de soft controls goed werken en neemt het risico hierdoor af, of is het juist het omgekeerde het geval?
4. Inbedding risicomanagement: hoe zorgen we ervoor dat aangewezen personen de risico’s managen? Zaak is ervoor te zorgen dat medewerkers zich bewust zijn van de impact van hun gedrag en de samenwerking met anderen op eventuele risico’s. Leidinggevenden dienen hierin voorbeeldgedrag te laten zien.
5. Risicomonitoring: het is belangrijk om te monitoren of de hard controls goed ingeregeld zijn en blijven. Hoe waardevol zijn deze inzichten als gedrag de regels ondermijnt? BDO kan hiertoe snel en goed inzicht geven in de huidige werking van soft controls.
6. Optimalisatie: met de uitkomsten uit een soft control-meting is het mogelijk om gericht interventies te doen om de werking van soft controls te verhogen, en daarmee de risico’s te verkleinen.

Goed risicomanagement bestaat niet zonder aandacht voor gedrag en cultuur. Dat betekent wel wat extra werk, maar die inspanning levert een verrijking op van uw risicomanagement.

Meer informatie

Wij helpen u graag om soft controls in te bedden in uw risicomanagement. Neem voor mee informatie contact op met onze specialisten of lees hier meer informatie.

Over de auteur

Anouk Bekker , MSc

Adviseur publieke sector

Lees meer