8 manieren om van uw AO een gedrocht te maken
1. Leg alle processen uitvoerig vast
Misschien is dit wel de meeste gehoorde klacht over AO. Organisaties steken veel energie in het inventariseren en vastleggen van de procesbeschrijvingen. Onder het mom “de AO moet in kaart worden gebracht”, wordt tot in detail voorgeschreven door wie, waarmee , waar, waarom en hoe werkzaamheden moeten worden uitgevoerd. Dit kan verlammend werken op de flexibiliteit van organisaties en bovendien is het geen garantie voor een goede AO.
Het is mogelijk om organisaties in control te laten zijn met uitsluitend een Excel-sheet waarin de belangrijkste risico’s en bijbehorende beheersmaatregelen inzichtelijk worden gemaakt. Als deze beheersmaatregel is dat de medewerkers onvoldoende bekend zijn met het proces, maak dan vooral een procesbeschrijving. Er zijn echter tal van andere maatregelen mogelijk op het vlak van mensen, middelen, methoden, management en metingen die niet per sé in processen hoeven te worden vastgelegd. Deze maatregelen moeten wel worden uitgevoerd, maar om dat te bereiken zijn veel andere maatregelen beschikbaar.
Schrijf als organisatie alleen processen uit als dat een toegevoegde waarde heeft bij de uitvoering. Focus je verder alleen op die zaken die van belang zijn voor het zicht op de sturing en functioneren van de organisatie of voor het afleggen van verantwoording. Stem procesbeschrijvingen af dus af op doel en doelgroep. Gedetailleerde beschrijvingen kunnen interessant zijn voor een analyse. De vraag is echter of deze beschrijvingen moet gaan beheren. Dat kost veel tijd en energie en dient geen enkel doel.
2. Koppel strategie en AO los
AO richt zich op een betrouwbare informatievoorziening. Dat wil echter niet zeggen dat een organisatie alles in het werk moet stellen om alle informatie daadwerkelijk te verzamelen. De kunst is om vanuit de strategie precies te bepalen welke informatie echt van belang is. De focus van de AO zou de betrouwbaarheid van deze informatie moeten zijn. Dit schept prioriteiten in de registratie en controle van gegevens en het aantal rapportages waarvoor input nodig is.
Koppel je AO los van de strategie, dan creëer je een AO die geen bijdrage levert aan het succes van de organisatie. Ook de informatiehuishouding draagt niet bij aan deze strategie en bewaken van je doelen.
__________________________________________________________________________________
Training BIV / AO
Ontwikkel in drie dagen een gedegen standaard aanpak voor BIV/AO binnen uw organisatie. Ervaren docenten onthullen de basis voor een slanke AO. U maakt bewuste keuzes op basis van overtuigende argumenten. Klik hier voor meer informatie en aanmelden.
__________________________________________________________________________________
3. Timmer de AO dicht
Waarom doen we dit eigenlijk? Een veelgehoorde en gezonde vraag van medewerkers die een in hun ogen nutteloze en dus tijdrovende controle of registratie uitvoeren. Veel organisaties bekijken de risico’s op procesniveau. Het is logisch vanuit het perspectief van de lijnmanager die voor het procesverantwoordelijk om de risico’s voor zijn proces tot in detail te zien en allerhande beheersmaatregelen te bedenken. Om dit te voorkomen (of juist toe te staan) is het van belang om als organisatie duidelijk te zijn over de “risk-appetite” Met andere woorden: welke risico’s vinden wij het waard om te nemen en welke dekken we dus bewust niet af.
Door dit in een duidelijke risicomatrix op te nemen is voor het hele organisatie (en de accountant) duidelijk dat je risico’s wel degelijk hebt gezien, maar dat de organisatie er heel bewust voor kiest om hier geen of beperkte actie op te nemen. De discussie of de maatregelen voldoende zijn, kan je altijd nog met de accountant aangaan. Uitgangspunten hierbij zijn:de genomen maatregel mag nooit duurder zijn dan het (financiële) risico dat een organisatie loopt en het lijnmanagement (en niet AO-er of de accountant) beslist uiteindelijk of de beheersmaatregel wordt genomen.
4. Verklaar de tool heilig
De techniek staat voor niets. Er lijken steeds meer tools te komen die organisaties kunnen helpen bij het vastleggen van hun AO. Te vaak zie je nog dat met het vullen van een tool en bijbehorende webapplicatie de implementatie van de AO is voltooid. Ieder in de organisatie kan immers lezen wat van hen wordt verwacht. Maar vastlegging is nog geen naleving.
####
5. Focus op de harde kant van AO
AO wordt veelal geassocieerd met handboeken, sjablonen, formulieren, registraties, controles en rapportages. Natuurlijk is dit het aspect van AO wat in organisaties te zien is. Wat organisaties zich niet realiseren is dat de meeste fouten nog steeds worden gemaakt aan de zachte kant van organisatie, het gedrag van medewerkers en management. Je kan de functiescheiding nog zo goed organiseren in wachtwoorden en functieomschrijvingen. Als de wachtwoorden van de verschillende personen onder het toetsenbord zijn geplakt en vervanging bij afwezigheid vanzelfsprekend is, is het een kleine moeite om twee rollen te vervullen. Bewustwording van het belang van AO is nog steeds een onderbelicht aspect.
6. Koppel AO en procesoptimalisatie los
In veel organisaties is een strijd te zien tussen degenen die aan procesoptimalisatie willen doen (en zoveel mogelijk controles en registraties afschaffen) en degenen die de een focus hebben op beheersing. Dit is verloren energie. Procesoptimalisatie kan niet plaatsvinden zonder kennis van AO. Betrek bij de procesoptimalisatie juist mensen die verstand hebben van de AO, zodat die het belang van bepaalde controles en registraties kunnen duiden. Belangrijk hierbij is dat deze mensen ook bereidt zijn om creatief mee te denken aan andere vormen van beheersing. In het scala van maatregelen op de vlakken: mens, middel, methoden, management en metingen zijn soms goede alternatieven beschikbaar.
7. Maak AO het feestje van de controller of IC
Door de vastlegging en controle op de naleving van de AO bij de controller of afdeling Interne Controle te beleggen, blijven de risicoanalyse en beheersmaatregelen een feestje van een stafafdeling. Processen, inclusief interne controle, moeten altijd de verantwoordelijkheid blijven van de verantwoordelijke voor het eindproduct. Pas dan worden uitvoerende zich bewust van het belang van een goede AO.
8. Richt de AO en ICT afzonderlijk in
De invoering van ICT systemen en de continuïteit van de AO blijft een heikel punt. ICT heeft gezorgd voor nieuwe mogelijkheden op het vlak van AO die de mogelijkheden op een doelmatige AO vergroten, maar ook nieuwe beheeruitdagingen betekenen. Zo is functiescheiding allang niet meer noodzakelijk op afdelingsniveau. Deze functiescheiding kan op persoonsniveau worden ingeregeld. Daarnaast kan bijvoorbeeld de handmatige invoercontrole door geautomatiseerde controles worden vervangen. Dat vraagt echter extra aandacht voor de inrichting van autorisaties en het beheer hierop. In de AO krijgen het bepalen van profielen, muteren van autorisaties en de zachte kant van wachtwoordbeheer een prominente plaats. Een AO-er zonder ICT-kennis krijgt het moeilijk.
__________________________________________________________________________________
Training BIV / AO
Ontwikkel in drie dagen een gedegen standaard aanpak voor BIV/AO binnen uw organisatie. Ervaren docenten onthullen de basis voor een slanke AO. U maakt bewuste keuzes op basis van overtuigende argumenten. Klik hier voor meer informatie en aanmelden.
__________________________________________________________________________________
De 8 valkuilen die hierboven zijn beschreven, zijn arbitrair. Neemt niet weg dat de meeste van deze situaties te voorkomen zijn. Een goede start is om de risicomatrix als basisdocument voor het inrichten van de AO te nemen. De risico’s moeten herleidbaar zijn naar de strategie van de organisatie en beoordeeld worden met de “risk appetite” in het achterhoofd. Kies vervolgens uit het scala aan mogelijkheden van beheer (mensen, middelen, methoden, management en metingen) alleen voor procesbeschrijvingen op die punten, waar dat toegevoegde waarde heeft. Gebruik verder actief ICT kennis en mogelijkheden bij het bepalen van de mogelijke beheersing. Tot slot zit het succes van een goede AO in de naleving. Juist hieraan kan het denken vanuit de risicomatrix en het in de lijn beleggen van de verantwoordelijkheid voor het gehele proces een bijdrage leveren.
Auteur: André van Hofwegen MMC is manager procesmanagement bij ConQuaestor. Hij voert projecten uit op het speelveld van beheersing en optimalisatie en geeft regelmatig trainingen op het vlak van procesmanagement, procesoptimalisatie en administratieve organisatie.
Zie ook: 5 signalen dat de controller niet meer ‘in control’ is