.png){kind=small}
Navigeren in het landschap van cultuur en gedrag
Van Topical Requirement naar drijfveren voor gedrag: keuzes en consequenties
Jan Otten · 4 juni 2026
"Van fouten kunnen we alleen maar leren. We zullen de lijn nogmaals wijzen op de procedures en ze waar nodig aanscherpen."
Zo reageert een manager na een auditbevinding. De auditors verlaten opgewekt de bespreking. De manager geeft het juiste antwoord. Iedereen kan met een goed gevoel naar huis. Maar een vraag verdient aandacht: is hier werkelijk iets geleerd? Of is dit precies het patroon dat ervoor zorgt dat dezelfde problemen over twee jaar opnieuw in het auditrapport staan?
Dit voorbeeld is geen uitzondering. Het is de regel. En het raakt precies de kern van wat er mis kan gaan als internal auditors gedrag onderzoeken zonder te kijken naar wat dat gedrag aandrijft. Dit artikel gaat over die kern. Over de Topical Requirement Organizational Behavior, die eind 2025 door het IIA is gepubliceerd. Over wat die standaard wint, en wat hij verliest. En over een methodiek die wil kijken waar de meeste audits niet komen: de drijfveren, mentale modellen en motieven die gedrag van mensen sturen.
Het momentum is er
We staan in 2026 op een interessant moment. Drie krachten zorgen samen voor ongekend momentum rond cultuur en gedrag als auditthema.
De eerste is de Nederlandse Corporate Governance Code 2025, die cultuur expliciet als verantwoordelijkheid van het bestuur benoemt. Het bestuur moet kunnen aantonen dat het die verantwoordelijkheid neemt. Internal audit is de natuurlijke partner van bestuur en auditcommittee om die zichtbaarheid te leveren.
De tweede is de IIA Topical Requirement Organizational Behavior zelf. Eind 2025 gepubliceerd, vanaf eind dit jaar een verplichte standaard. Als gedrag het onderwerp is van een audit, of als gedragskwesties tijdens een audit opduiken, moet de auditor de eisen van het topical requirement toetsen. Daarbij geldt het principe comply or explain, en IIA Nederland stelt dat de verplichting betrekking heeft op het evalueren en uitleggen van de toepassing van de vereisten, niet op het auditen van het topic zelf.
De derde kracht is de Nederlandse traditie. Er is een sterke academische traditie rond soft controls, en er zijn auditteams die hebben aangetoond dat gedrag gestructureerd onderzocht kan worden, binnen normale doorlooptijden en met gewone capaciteit.
Dat momentum is goed nieuws. Maar het is ook het moment om scherp te kijken naar wat de Topical Requirement precies biedt, en wat hij niet biedt.
De Topical Requirement: een doorbraak en een keuze
Het IIA maakt in de Topical Requirement Organizational Behavior een beweging die op het eerste gezicht aantrekkelijk klinkt. Van cultuur, vaag, subjectief en moeilijk te toetsen, naar gedrag, observeerbaar, meetbaar en beinvloedbaar.
De standaard vraagt in essentie drie dingen. Ten eerste governance: bestuur en directie monitoren gedragsindicatoren. Ten tweede risk management: gedragsrisico's worden geidentificeerd, geanalyseerd en gemonitord. Ten derde controls: procedures schrijven voor hoe medewerkers beslissingen nemen en werkzaamheden uitvoeren.
Dat is een serieuze stap voorwaarts ten opzichte van waar internal audit tien jaar geleden stond. Maar de Topical Requirement maakt drie impliciete keuzes die de auditor moet doorzien. Anders implementeer je een raamwerk dat netjes voldoet aan de eisen, maar dat je niet bij de oorzaak van incidenten brengt. En dat in het slechtste geval helemaal niet past bij hoe jouw organisatie haar mensen wil aanspreken.
Drie impliciete keuzes die alles bepalen
1. Het verlies van het cultuurbegrip
Het IIA neemt bewust afscheid van de term cultuur. Het argument: cultuur is te subjectief, te moeilijk te toetsen. Dus verschuiven we naar observeerbaar gedrag. Maar wat is observeerbaar gedrag in de auditpraktijk? Of een procedure is gevolgd. Of er een melding is gedaan. Een verloopcijfer. Een aantal klachten. Kortom: de papieren werkelijkheid, wat de organisatie zelf van zichzelf heeft vastgelegd.
En hier wringt het. Om met die data een audituitspraak te doen die ergens toe leidt, moet de auditor toch interpreteren. Wat betekent het als er nul keer gebruik is gemaakt van de escalatieprocedure? Dat alles prima is, of dat melden niet veilig voelt? Het IIA heeft het interpretatieprobleem niet opgelost. Het heeft het verplaatst, en het heeft het onzichtbaar gemaakt. De auditor die met zogenaamd objectieve gedragsindicatoren werkt, doet alsof hij niet interpreteert. Maar hij interpreteert wel. Alleen nu zonder dat de methodiek hem daarin ondersteunt.
2. Een impliciete cultuurfilosofie
Er zijn in de organisatiekunde twee fundamenteel verschillende manieren om naar cultuur te kijken. De eerste zegt: een organisatie heeft een cultuur. Cultuur is iets wat je kunt aanwijzen, meten en sturen. Trek aan de juiste hendels en de cultuur beweegt mee. Dit is het functionalisme.
De tweede zegt: een organisatie is een cultuur. Cultuur is niet een knop op het dashboard, maar het hele weefsel waarin mensen zin geven aan hun werk. Je kunt het begrijpen, en met dat begrip een gesprek voeren. Dit is de symbolisch-interpretatieve benadering.
De Topical Requirement kiest impliciet voor de eerste benadering. Gedrag wordt een variabele in het GRC-model: meten, monitoren, sturen. Niets mis met die keuze op zichzelf, maar wat je opgeeft is het zicht op alles wat zich niet als variabele laat vangen. Drijfveren. Mentale modellen. De stille afspraken die mensen onderling hebben over wat hier wel en niet kan worden gezegd. Precies daar zit waar grote schandalen vandaan komen. Niet uit een gat in de governance, maar uit een collectief begrepen wij doen dit hier zo, en daar praten we niet over.
3. Een impliciete beheersstrategie
Dit is het meest kritieke punt. Een organisatie kan haar mensen op twee manieren beheersen. Beide zijn legitiem. De keuze hangt af van wat de organisatie doet en hoe zij naar haar mensen kijkt.
De eerste strategie is naleving. Gedrag wordt gestuurd via regels, procedures, controls, monitoring en sancties. De vooronderstelling: zonder structuur wijken mensen af. Beheersing zit in de structuur. Een grote bank, een productiebedrijf, een uitvoeringsorganisatie met routinewerk en hoge externe regeldruk. Daar past naleving.
De tweede strategie is stimulering. Gedrag wordt mogelijk gemaakt door de professionele motieven van mensen aan te spreken. Vakmanschap, beroepsethiek, intrinsieke kwaliteitsdrang. De vooronderstelling: mensen handelen vanuit professionele motieven. Beheersing zit in vakmanschap, dialoog en wederzijds vertrouwen. Een ziekenhuis, een advocatenkantoor, een universiteit, een onderzoeksbureau. Daar werkt naleving juist averechts.
De Topical Requirement past bij naleving, en alleen bij naleving. Kijk naar de drie pijlers: governance is monitoren van indicatoren, risk management is identificeren en bewaken, controls zijn procedures die voorschrijven hoe medewerkers handelen. De hele vocabulaire is naleving.
Voor een ziekenhuis dat vraagt of de gedragsattributen die kritisch zijn voor de strategische doelen gedefinieerd en gemonitord zijn, antwoordt de chirurg fronsend dat zij dat niet als attributen hebben vastgelegd, want dat zit in de professionele standaard. Dat ziekenhuis heeft niet onvoldoende controls. Het heeft een andere beheersstrategie, een legitieme. En de Topical Requirement geeft geen instrument om die filosofie in haar eigen termen te beoordelen.
Voordat je de Topical Requirement op je organisatie loslaat, moet je dus eerst vaststellen welke beheersstrategie jouw organisatie voert. Dat is een gesprek dat je met bestuur en auditcommittee moet voeren.
Voorbij de stippellijn
Stel je het model in Figuur 1 voor. Een stippellijn stelt de control-infrastructuur voor: codes, procedures, governance, monitoring. Wat de organisatie zegt belangrijk te vinden, en formeel heeft geregeld. Binnen die stippellijn speelt zich het werkelijke gedrag af. Maar dat gedrag wordt niet primair gestuurd door de stippellijn. Het wordt gestuurd door mentale modellen: de stille overtuigingen en aannames van waaruit mensen feitelijk handelen, vaak zonder zich daarvan bewust te zijn. Die mentale modellen worden gevoed van twee kanten: door organisatie-culturele processen en door sociaal-psychologische processen zoals groepsdruk, hierarchie en gezichtsverlies vermijden.
Figuur 1 · De stippellijn: control-infrastructuur en de mentale modellen die gedrag werkelijk sturen
De Topical Requirement audit de stippellijn. De werkelijke drijfveren vallen buiten zijn gezichtsveld. Twee methodieken gaan verder.
IPPA: Integrated People Process Auditing
IPPA is een toolbox die in 2018 is ontwikkeld en die eind 2024 is overgenomen door IIA Nederland. De toolbox bestaat uit meer dan 80 gedragsaspecten, uitgewerkt in evaluatiecriteria en voorzien van honderden interviewvragen. Een kwart tot een derde van de gedragsaspecten heeft ook gedragsobservatie-instrumenten. IPPA maakt het gedrag zelf onderzoekbaar, niet alleen de effecten ervan.
Behavioral Auditing 2.0: een andere school
Behavioral Auditing 2.0 stelt een wezenlijk andere vraag dan de Topical Requirement. Niet: wat zijn de effecten van gedrag, en past het bij wat we willen sturen? Maar: welke drijfveren, mentale modellen en motieven sturen mensen naar het gedrag dat we zien? En dat vaak zonder dat zij of hun leidinggevenden het doorhebben.
Dat verschil bepaalt of een aanbeveling werkt of niet. De manager die zegt dat hij de lijn nogmaals zal wijzen op de procedures, werkt aan de effecten van gedrag. Twee jaar later doet zijn opvolger hetzelfde opnieuw. Niets is veranderd, want de drijfveren zijn niet aangeraakt.
De analyse-output van een Behavioral Audit 2.0 is een patroonkaart. Geen score, geen verkeerslicht, maar een gestructureerde beschrijving van een terugkerend gedragspatroon. Figuur 2 toont een voorbeeld. Die patroonkaart bestaat altijd uit vijf vaste elementen. Een exacte patroonbeschrijving, inclusief de conditie waaronder het patroon optreedt. Bewijsankers: letterlijke citaten uit interviews die het patroon illustreren, wat een perfecte audittrail oplevert. Instandhoudende mechanismen: de informele regels, impliciete beloningsstructuren en defensieve routines die het patroon in stand houden. Dat is precies wat een nalevingsmethodiek niet kan zien. Impact en risico's: de consequenties voor de organisatie. En handelingsalternatieven: startpunten voor de dialoog, geen aanscherping van procedures.
Figuur 2 · Voorwaardelijke openheid onder hiërarchische druk. Voorbeeld van een patroonkaart uit een Behavioral Audit 2.0
In een doorsnee Behavioral Audit resulteert de analyse in 8 tot 12 patroonkaarten. Vijf patronen die in vrijwel elke auditpraktijk terugkomen: controls overslaan om targets te halen, managers die meldingen ontmoedigen, informatie achterhouden in besluitvorming, fouten die worden afgestraft in plaats van geanalyseerd, en incentives die excessieve risico's belonen. Deze vijf zijn niet zelf de risico's. Ze zijn de zichtbare verschijning van onderliggende drijfveren.
Behavioral Auditing 2.0 werkt onder beide beheersstrategieeen, maar de uitkomst landt anders. Onder een nalevingsstrategie wordt de patroonkaart een diagnose: welke patronen ondermijnen de werking van onze controls? Onder een stimuleringsstrategie wordt hij een gespreksinstrument: welke patronen ondermijnen onze professionaliteit?
AI als bondgenoot
Het hart van Behavioral Auditing 2.0, de kwalitatieve analyse, was inhoudelijk altijd al sterk. Maar voor een normale auditafdeling vaak onhaalbaar. Twintig diepte-interviews leveren al snel enkele honderden pagina's transcript op. Een ervaren auditor is vier tot zes dagen bezig met zo'n analyse.
Begin dit jaar heeft de aanpak een grote upgrade gekregen. AI-modellen voeren de kwalitatieve data-analyse nu volledig uit. Niet door het mensenwerk te vervangen, maar door de meest arbeidsintensieve stap, het systematisch zoeken naar patronen in honderden pagina's, drastisch te versnellen. Twee tot drie uur in plaats van vier tot zes dagen.
Wat mensenwerk blijft: het ontwerpen van de audit, het voeren van de gesprekken, het wegen van patronen tegen de organisatiecontext, de duiding, het gesprek met het bestuur. En misschien wel het belangrijkste: de afsluitende validatieworkshop, waar bevindingen niet worden aangenomen maar in een gezamenlijke dialoog worden onderzocht.
AI vervangt de auditor niet. AI maakt de auditor beter.
Een concreet actieplan voor de komende twaalf maanden
Het gaat er niet om te kiezen tussen de Topical Requirement en Behavioral Auditing 2.0. Het gaat om de juiste mix, afgestemd op de beheersstrategie van jouw organisatie. Figuur 3 laat de vier stappen zien.
Figuur 3 · Actieplan: vier stappen in twaalf maanden
Stap 1, nu: diagnose. Twee vragen voor bestuur en auditcommittee. Welke beheersstrategie voert onze organisatie, naleving, stimulering, of een hybride? En welke audits in ons jaarplan raken gedrag, direct of indirect?
Stap 2, een tot drie maanden: verkennen. Stel een kleine groep kwartiermakers aan voor een verkenning, of doe het als afdeling als je kleiner bent. Volg een IPPA-training bij IIA Nederland of doe de beschikbare e-learning. Kies een afgebakend onderwerp waar gedragsdynamiek vermoedelijk speelt en zet globaal de scoping op. Bespreek met bestuur en auditcommittee waarom je daar wilt kijken. Nog niet uitvoeren; eerst de audit goed neerzetten.
Stap 3, drie tot zes maanden: verdiepen. Voer pilots uit en rapporteer, niet alleen de bevindingen, maar ook wat de aanpak heeft opgeleverd en welke aanpak in welke situatie de voorkeur verdient.
Stap 4, zes tot twaalf maanden: verankeren. Maak gedragsrisico een structureel onderdeel van het jaarplan. Bouw kennis, vaardigheden en ervaring op.
Tot slot
Je gaat de Topical Requirement implementeren. Dat moet. Maar twee vragen neem je, hoop ik, mee naar huis.
Kom je met de Topical Requirement bij de oorzaak van mogelijke incidenten, of alleen bij de zichtbare verschijning? En past de beheersfilosofie die de Topical Requirement veronderstelt eigenlijk bij hoe jouw organisatie haar mensen wil aanspreken?
De manager die zei dat hij de lijn nogmaals zou wijzen op de procedures, deed wat van hem verwacht werd. Hij was compliant. Maar relevant was hij niet. Het verschil tussen die twee is precies wat goed gedragsonderzoek zichtbaar maakt.
Jan Otten is Associated Partner bij Ferocia en ontwikkelaar van IPPA en Behavioral Auditing 2.0. Hij is bereikbaar via jan.otten@ferocia.nl.
Neem contact met ons op
Meer weten? Neem dan contact met ons op. Wij helpen je graag verder!
