Behavioral Auditing 2.0

Behavioral Auditing 2.0

Gedrag en cultuur in relatie tot risicobeheersing

Ferocia heeft samen met Jan Otten Behavioral Auditing 2.0 ontwikkeld. De vernieuwde methode voor het uitvoeren van gedragsaudits. Krijg diep inzicht in mentale modellen, drijfveren en overtuigingen achter gedrag. Net zo krachtig als voorheen, maar nu nog simpeler, sneller en AI-ondersteund.  Een praktische aanpak om invulling te geven aan de IIA Topical Requirement for Organizational Behavior.

De eerste generatie Behavioral auditing, ontwikkeld door Jan Otten en Inge van der Meulen, gaf organisaties al inzicht in gedrag en cultuur. Het bracht onderstromen aan het licht: waarom blijven verbetertrajecten steken, ondanks heldere rapporten? Waarom verzanden veranderingen, ook al zijn rollen en processen op papier logisch ingericht? Antwoorden lagen zelden in nog een procedure of nog een training, maar in wat mensen werkelijk doen, gestuurd door gewoonten, groepsdynamiek, onuitgesproken normen en impliciete aannames.

Wat maakt Behavioral Auditing 2.0 vernieuwend?

Behavioral auditing 2.0 is op twee manier vernieuwd:

1. het gebruik van geavanceerde AI-modellen waardoor de audit simpel en sneller uitgevoerd kan worden met behoud van dezelfde kwaliteit en diepgang; en

2. de expliciete koppeling tussen de beheerscultuur en het controlframework waardoor het herkenbaarder en dicht bij het werk van een internal auditor komt te staan.

Behavioral Auditing 2.0 is de doorontwikkeling van de vertrouwde gedragsaudit, waarin de volledige kwalitatieve data-analyse is vervangen door een AI‑gestuurde aanpak. De kern blijft identiek: diep inzicht in mentale modellen, drijfveren en overtuigingen achter gedrag, op basis van rijke interviewdata.

In plaats van handmatig coderen, clusteren en thematiseren, laat Behavioral Auditing 2.0 dit werk doen door geavanceerde AI‑modellen die grote hoeveelheden interview transcripten razendsnel analyseren. Deze modellen herkennen patronen, thema’s en sentimenten die voorheen veel uren denkarbeid vroegen, met een consistentie en reproduceerbaarheid die handmatige analyse vaak niet haalt.

De geavanceerde AI-modellen zet de transcripten om in een gestructureerd, doorlopend narratief dat qua opbouw en scherpte aansluit bij de verhalen die auditors eerder handmatig maakten. Dat narratief is nog steeds volledig opgebouwd uit letterlijke citaten uit de interviews, zodat de stem van de organisatie hoorbaar blijft en direct als input kan dienen voor de validatieworkshop.

Waar de auditor voorheen diep in de codering en classificatie van fragmenten moest duiken, verschuift de focus nu naar duiding, toetsing en dialoog met de organisatie. De geavanceerde AI-modellen leveren in minuten een eerste, rijk onderbouwd narratief en thematische indeling op, waardoor de auditor zijn expertise kan inzetten waar die de meeste waarde heeft: interpretatie, risicoweging en het ontwerpen van interventies.

De essentie van Behavioral Auditing blijft volledig behouden: inductieve gedragsanalyse, stevige onderbouwing en herkenbare narratieve die beweging in organisaties op gang brengen. Behavioral Audit 2.0 levert deze kwaliteit nu in een fractie van de tijd, met minder doorlooptijd, lagere analysekosten en meer ruimte voor reflectie en interactie met bestuur, management en medewerkers

Daarbij focust Behavioral Auditing 2.0 zich specifiek op de vraag: is onze (beheers)cultuur congruent met ons controlframework? Oftewel, als we kijken naar de formeel ingerichte beheersmaatregelen om risico te mitigeren, en naar hoe de cultuur binnen de organisatie hoe medewerkers werkelijk met deze beheersmaatregelen omgaan, herkennen we dan een logisch, samenhangend geheel? Of staat het controlframework en de cultuur op gespannen voet met elkaar?

Die vraag lijkt simpel, maar is het niet. Want het controlframework is meer dan een set maatregelen. Het is een netwerk van checks, autorisaties, routines, dashboards, normenkaders en verwachtingen. En “(beheers)cultuur” is meer dan een slogan op een poster. Het is hoe mensen in de praktijk betekenis geven aan regels, hoe zij onder tijdsdruk keuzes maken, wie zich veilig voelt om iets te zeggen, wie elkaar aanspreekt, en wat er gebeurt als iemand wél een grens trekt. Met andere woorden: het is “de manier waarop we hier de dingen doen”, en precies daar zitten zowel de kracht als de kwetsbaarheid van beheersing.

Neem het vierogenprincipe. In veel organisaties is dat een beheersmaatregel in het controlframework. Maar stel dat de cultuur zo is ingericht dat elkaar aanspreken ongemakkelijk is. Dat feedback snel als kritiek wordt ervaren. Dat medewerkers liever vermijden dan confronteren, omdat “gedoe” interne conflicten oplevert of omdat er toch niets mee gebeurt. Dan verandert het vierogenprincipe van een beheersmaatregel in een ritueel. Er wordt wel gekeken, maar niet echt gezien. De tweede handtekening wordt gezet omdat dat nu eenmaal moet, niet omdat er een inhoudelijke dialoog plaatsvindt. Formeel klopt het. Gedragsmatig is het een leeg omhulsel.

Het kan ook precies andersom. Een organisatie kan zichzelf graag beschrijven als “betrokken, mensgericht en gebaseerd op vertrouwen”. Maar ondertussen bestaat het controlframework uit een dicht netwerk van microcontroles, dubbele registraties, autorisaties op de kleinste handelingen en escalatieprocedures die vooral wantrouwen communiceren. Medewerkers ervaren: “ze geloven ons niet.” En wat doet dat met gedrag? Mensen gaan slimmer worden in het systeem in plaats van beter in het werk. Ze gaan afvinken, verstoppen, omzeilen, ‘netjes’ rapporteren wat veilig is. De formele stapel groeit, de werkdruk stijgt, en de echte risico’s verhuizen naar de schaduw. Het controlframework is ontworpen als bescherming, maar wordt beleefd als controle op de persoon. Ook hier: een mismatch tussen wat we zeggen en wat we doen.

Behavioral Auditing 2.0 maakt precies deze eventuele mismatch zichtbaar. Niet door er een extra vragenlijst over cultuur naast te leggen, maar door het controlframework te analyseren en de beheerscultuur te onderzoeken en te beoordelen in welke mate deze congruent zijn.

Dat deze beweging nodig is, is inmiddels ook expliciet terug te zien in de ontwikkeling van het vak. Het IIA heeft in het kader van de Global Internal Audit Standards een Topical Requirement voor Organizational Behavior gepubliceerd. Organisatiegedrag is niet langer een vage bijlage bij ‘culture’, maar een te auditen risicodomein. Slecht uitgelijnd gedrag kan tot slechte uitkomsten leiden, zelfs als de intenties goed zijn, en vraagt daarom om governance-, risk- en controlprocessen die je net zo serieus beoordeelt als andere risico’s.

Het Topical Requirement biedt een minimum-baseline. Het vraagt dat auditors op drie niveaus kijken: governance, risk management en controls rondom organisatiegedrag.

Kijk je naar de governance-eisen, dan gaat het onder meer om de rol van board en senior management: is er heldere accountability voor gedragsverwachtingen, en bestaan er processen om alignment tussen gedragsinzichten en organisatiedoelen te monitoren en bij te sturen. Dat is precies waar Behavioral Auditing 2.0 antwoord op geeft. Niet door te vragen of “tone at the top” ergens in een code staat, maar door te onderzoeken welk gedrag daadwerkelijk wordt beloond, welke dilemma’s managers in het echt tegenkomen, en hoe besluitvorming, aanspreekbaarheid en voorbeeldgedrag uitpakken in de operatie.

Op risk managementniveau vraagt het IIA onder meer of de organisatie een aanpak heeft om gedragsrisico’s te managen, of monitoring van organisatiegedrag adequaat en tijdig is, of gaps tussen verwacht en daadwerkelijk gedrag (incl. root causes) consequent worden gecommuniceerd. Ook hier sluit Behavioral Auditing 2.0 naadloos aan, juist omdat het vertrekpunt niet is “wat is het gewenste gedrag?”, maar “wat gebeurt er nu, en welke aannames sturen dat?”

En op het niveau van controls vraagt het IIA dat organisaties processen hebben om risicovolle gedragspatronen te identificeren en te mitigeren, dat er een duidelijke toon en communicatie over verwacht gedrag is, dat er meld- en escalatiemechanismen bestaan met bescherming, dat incentives en consequenties aligned zijn met doelen, dat issue management bestaat om misaligned gedrag te corrigeren en te escaleren en dat training, onboarding en talentprocessen gedragsverwachtingen ondersteunen. Met andere woorden: gedrag moet niet alleen “besproken” worden, het moet ontworpen worden in de manier waarop je mensen aanneemt, beoordeelt, beloont, corrigeert en beschermt.

Hier wordt de waarde van Behavioral Auditing 2.0 zichtbaar: het maakt dit hele pakket toetsbaar, zonder te vervallen in vaagheid. Het helpt auditors om niet te blijven hangen in algemene cultuurwoorden, maar om scherp te kijken naar de consistentie tussen het controlframework en cultuur.

De kernboodschap is daarom: in control zijn is niet het hebben van maatregelen, maar het hebben van maatregelen die passen bij de cultuur, of het ontwikkelen van een cultuur die de maatregelen kan dragen. Behavioral Auditing 2.0 brengt die twee werelden bij elkaar. Het legt bloot waar je controlframework en je beheerscultuur elkaar versterken, en waar ze elkaar ondermijnen. En precies daarin geeft het concreet invulling aan het Topical Requirement van het IIA: het maakt organisatiegedrag auditbaar, bespreekbaar en verbeterbaar, met dezelfde professionaliteit die we gewend zijn bij andere risicodomeinen.

Wie dat eenmaal ziet, gaat anders kijken naar “de oplossing”. Niet automatisch meer controls toevoegen, maar eerst begrijpen wat er gebeurt. Soms blijkt dat je cultuur best volwassen is, maar dat je systeem nog in een wantrouwmodus staat. En soms blijkt dat je systeem prima is, maar dat je cultuur niet veilig genoeg is om het systeem te laten werken.

En misschien is dat wel de grootste winst van Behavioral Auditing 2.0: het brengt beheersing terug naar waar het uiteindelijk altijd over gaat. Niet over papier, maar over keuzes. Niet over regels, maar over gedrag. Niet over hoe het hoort, maar over hoe het werkt.