Gedrag is bepalender dan beleid
Je kunt een SIRA nog zo goed op papier hebben: als medewerkers risico’s niet herkennen, niet durven melden of instructies structureel negeren, heb je alsnog een lek in je beheersing. Dat is waar soft controls in beeld komen.
De beïnvloedende factoren in houding, gedrag en cultuur bepalen of jouw SIRA echt werkt of alleen op papier klopt. Soft controls zijn essentieel bij het beheersen van integriteits- en witwasrisico’s, juist omdat deze risico’s vaak ontstaan door:
- gewoontes, loyaliteit of groepsdruk,
- onduidelijke normen of prioriteiten,
- of afwijken zonder kwade bedoelingen.
De SIRA focust op kwetsbaarheden. Soft controls helpen verklaren waarom die kwetsbaarheden blijven bestaan of groeien en behoren dus een integraal onderdeel te zijn van je risicomanagement.
Wat zijn soft controls?
Soft controls zijn niet-tastbare sturingsmechanismen binnen een organisatie die gedrag beïnvloeden. Denk aan:
| Soft control | Voorbeeld in de praktijk |
| Voorbeeldgedrag | Bestuurder die zelf klantafspraken omzeilt |
| Openheid en aanspreekbaarheid | Medewerker durft niet te zeggen dat klantcontact grensoverschrijdend is |
| Duidelijke normen | Onduidelijkheid over hoe om te gaan met cashtransacties |
| Veilige meldcultuur | Onzekerheid over gevolgen van het melden van een incident |
| Reflectie en feedback | Geen moment waarop dilemma’s of fouten worden besproken |
Zonder deze mechanismen lopen formele beheersmaatregelen (zoals beleid, formats of instructies) het risico ineffectief te zijn. Soft controls zitten meer in de cultuur gebakken dan dat ze zichtbaar worden. Het gaat hier om gewoonten, met overtuigingen, onderliggende belangen en (dominante) waarden. De cultuur kan de kwaliteit en de integriteit van de organisatie ernstig ondermijnen. Ook al zijn de bedoeling – op papier – nog zo goed.
Waarom zijn soft controls relevant voor de SIRA?
In je SIRA benoem je risico’s, kwetsbaarheden en maatregelen. Maar zoals gezegd zijn veel integriteitsrisico’ niet alleen te verklaren vanuit structuur of processen. Ze ontstaan juist binnen gedrag, cultuur en communicatie.
Voorbeeld:
Je hebt een meldpunt voor ongebruikelijke transacties, maar niemand maakt er gebruik van. Niet omdat er niets gebeurt, maar omdat men denkt: “Het zal wel loslopen, of ik krijg gedoe, het is teveel werk, het kost tijd en geld”
De echte kwetsbaarheid zit dan niet in het meldpunt maar in de cultuur.
Daarom is het van belang om soft controls expliciet mee te nemen in je SIRA:
- als onderliggende oorzaak van risico’s,
- als kritische succesfactor bij beheersmaatregelen,
- en als aandachtspunt bij monitoring en evaluatie.
Hoe neem je soft controls op in je SIRA?
- Benoem cultuur en gedrag als risicofactor
Bijvoorbeeld:
| Risicogebied | Soft control-gerelateerd risico |
| Meldcultuur | Medewerkers herkennen signalen, maar melden ze niet |
| Klantacceptatie | Commerciële druk wint van risicobesef |
| Transactietoetsing | Medewerkers durven geen vragen te stellen over herkomst van vermogen |
- Verbind soft controls aan je maatregelen
Bijvoorbeeld:
| Risico | Maatregel |
| Lage meldingsbereidheid bij personeel | Intervisie over signalering, training met casussen, beloningen |
| Onvoldoende voorbeeldgedrag bestuur | MT bespreekt dilemma’s zichtbaar en transparant |
| Geen open cultuur rond fouten | Bespreken van fouten in teamoverleg, zonder schuldvraag |
- Monitor soft controls op passende wijze
Geen dikke audits of scores, maar:
- reflectieve gesprekken,
- cultuurmetingen,
- open evaluatiesessies,
- terugkerende aandacht in interne communicatie.
Let op: Dit vraagt geen extra administratie, maar wel aandacht en sturing.
Koppeling met COSO, SKM en PDCA
| Kader | Hoe soft controls daarin terugkomen |
| COSO-ERM | Component 1: Governance & cultuur — soft controls zijn daar essentieel |
| ISQM 1 / SKM | Component 1 & 6: leiderschap, voorbeeldgedrag, communicatie |
| PDCA | Soft controls zijn onmisbaar in de Check en Act-fase (evaluatie en bijstelling) |
Een SIRA met aandacht voor soft controls sluit dus naadloos aan op bestaande kaders, modellen en standaarden.
Veelgestelde vragen
Moet ik soft controls verplicht opnemen in mijn SIRA?
Nee, niet expliciet volgens de Wwft. Maar ze verklaren vaak wél waarom risico’s blijven bestaan. Daarom zijn ze praktisch én bij toetsing steeds relevanter.
Hoe meet ik soft controls?
Niet met keiharde data, maar met kwalitatieve observaties: gesprekken, terugkerende signalen, cultuurfeedback, dilemma-analyses.
Moet ik dit ook vastleggen?
Ja, maar houd het beknopt. Toon aan dat je gedrag en cultuur bespreekbaar maakt en dat je signalen serieus neemt.
Verder lezen
- Component 1. Governance en leiderschap onder ISQM 1 (SKM 1 NL)
- Kwaliteitsmanagement onder ISQM 1 (SKM 1 NL) volgens de PDCA-cyclus van Deming
- Wat is een SIRA? Zo leg je een stevig fundament onder je risicobeheersing
- Risicobereidheid in de SIRA: hoe bepaal je wat je nog acceptabel vindt?
Assurvia helpt je soft controls integreren in je risicobeheersing
Wij begeleiden organisaties bij het herkennen, bespreekbaar maken en versterken van soft controls binnen hun SIRA, SKM en compliance. Geen scores, maar structurele aandacht en werkbare formats.
Meer weten? Mail ons via info@assurvia.com of bekijk onze kennisbank.
