Arco van de Ven: Waarom klassieke AO faalt en hoe het nu moet

Hoe houd je als financial grip op je administratieve organisatie (AO) nu de risico’s toenemen, technologie razendsnel verandert en maatschappelijke druk groeit? Arco van de Ven RA, hoogleraar Internal Control & Accounting Information Systems bij TIAS School for Business and Society, pleit voor een fundamentele herziening van de klassieke AO.

Finance professionals staan volgens Van de Ven voor vele actuele uitdagingen. Hij wijst op de enorme druk die ESG, AI en cyberrisico’s leggen op de interne beheersing. “De risico’s kunnen sterk verschillen tussen organisaties en ook de volwassenheid waarmee de financiële functie al op deze terreinen maatregelen heeft getroffen, verschilt aanzienlijk. Ziekenhuizen bijvoorbeeld hebben een klassieke, uitvoerende financiële functie. Andere organisaties zitten juist midden in een digitale transformatie. Maar overal geldt: de tijd waarin we ons echter op één aspect konden richten is over.”

“In een tijdperk waarin onzekerheid zo hoog is, bieden handboeken en functiescheiding nog maar beperkt houvast. Veel belangrijker zijn zaken als wendbaarheid, vasthouden aan kernwaarden, soft controls en het bewaken van strategische ondergrenzen. Dáár moet je mee aan de slag.”

Desgevraagd ziet hij cyberrisk toch als de grootste uitdaging bij het toekomstbestendig inrichten van hun AO. “De consequenties van bijvoorbeeld gijzelsoftware voor de continuïteit van de bedrijfsvoering is gigantisch. Zo verbaast het me dat er nog steeds organisaties zijn zonder twee-factorauthenticatie. Zelfs simpele maatregelen worden nog niet doorgevoerd.”

Van denken naar doen: een mentale omslag in AO
Arco van de Ven is uitgesproken kritisch op de ‘klassieke AO’. “We moeten af van het idee dat we de belangrijkste risico’s in kaart kunnen brengen door goed vooraf nadenken en plannen maken. Dat we door vooraf maatregelen bedenken en invoeren ervoor zorgen dat we in control zijn. Vergeet het maar. Deze gedachtegang zien we ook terug bij de Verantwoording Over Risicomanagement (VOR) uit de nieuwe corporate governance code.”

Het traditionele beeld van AO als een verzameling procedures en strikte functiescheidingen werkt volgens hem averechts. “Zo’n verantwoording over risicomanagement… Nou, accountants verdienen er goed geld aan, maar die verantwoording voegt weinig toe en de wereld wordt er niet veiliger door. In een tijdperk waarin onzekerheid zo hoog is, bieden handboeken en functiescheiding nog maar beperkt houvast. Veel belangrijker zijn zaken als wendbaarheid, vasthouden aan kernwaarden, soft controls en het bewaken van strategische ondergrenzen. Dáár moet je mee aan de slag!”

ESG vraagt om IT-ondersteunde AO
In een recent interview op FM.nl (‘Finance, neem het heft in eigen handen bij ESG’) pleit Van de Ven ervoor dat finance grip moet krijgen op ESG. “Anders krijg je de ellende later op je bordje.” Hij ziet IT als de sleutel om duurzaamheidsdata betrouwbaar vast te leggen, te sturen en te rapporteren.

“Waar in de wat klassiekere AO de nadruk op procesbeschrijvingen lag, is IT-ondersteuning nu datgeen dat de grip bepaalt. Denk aan een platform waarmee strategisch relevante ESG-indicatoren eenvoudig kunnen worden vastgelegd en bewaakt, dankzij geautomatiseerde koppelingen zoals Application Interfaces en API’s. Geprogrammeerde controles verhogen de betrouwbaarheid. Tevens kan hiermee het ESG-aspect worden geïntegreerd in de P&C-cyclus.”

Volgens Van de Ven zorgt deze verschuiving van het vastleggen van beschrijvingen naar het afdwingen via IT ervoor dat organisaties flexibeler en wendbaarder worden. “Veranderingen kun je nu makkelijk doorvoeren en je hoeft ook niet steeds handmatige fouten te corrigeren. Dat is essentieel.”

Finance als informatiemanager en veranderaar
Met een IT-gedreven aanpak als fundament, schuift de rol van finance op van rapporteur naar veranderaar.Finance is allang geen boekhouder meer die alleen terugkijkt, stelt Van de Ven. “Dat de rol van Finance zich vooral bezighoudt met het rapporteren over het verleden klopt niet meer, maar is wel een hardnekkig beeld. IT, risicomanagement en strategische sturing zijn onderwerpen die al een belangrijke rol spelen in de dagelijkse praktijk.”

De huidige context vraagt wel om een volgende stap. Van de Ven: “De toenemende mogelijkheden, zoals Robot Process Automation (RPA), en de laagdrempeligheid van AI-toepassingen, betekenen dat organisaties zullen veranderen en dat Finance hier een belangrijke rol in kan en naar mijn mening ook moet spelen. De wijze waarop kan sterk verschillen, maar dat kennis van IT en changemanagement steeds belangrijker voor financials wordt, is voor mij een uitgemaakte zaak.”

Van procesbeschrijving naar automatisering
In de cursus ‘AO nieuwe stijl’ stelt Van de Ven dat AO-professionals risicogericht beheersmaatregelen moeten ontwerpen die  – rekening houdend met IT-mogelijkheden en soft controls – in de complexe organisatie voldoende zekerheid bieden om doelstellingen te realiseren.

Als sprekend voorbeeld haalt hij de traditionele functiescheiding bij systeemontwikkeling aan. “We zijn geneigd om functiescheiding toe te passen tussen ontwikkeling, testen en beheer van applicaties. In een agile systeemontwikkeling ligt de nadruk op het opleveren van een werkende applicatie door een team in zo’n drie weken. Het risico dat de applicatie niet betrouwbaar functioneert, is ook in een agile omgeving aanwezig.”

Psychologische veiligheid is cruciaal
“Maar functiescheiding in een zelfsturend team is niet een oplossing. Onderzoek naar zelfsturende teams laat zien dat een hoge mate van psychologische veiligheid cruciaal is voor de effectiviteit van het team. Een hoge mate van geautomatiseerd testen en preventieve beheersingsmaatregelen over wat het team moet opleveren, dus ook welke documentatie en doorstane tests waar ook een audit op kan worden uitgevoerd, vormt zo’n andere type aan maatregel.”

Diezelfde logica geldt ook voor procesbeschrijvingen. In veel organisaties zijn die nog altijd leidend, terwijl ze hun doel vaak voorbijschieten. “Veel accountants vragen om procesbeschrijvingen, maar waar zijn deze voor nodig? Als het doel is om medewerkers te instrueren dat werkzaamheden op een eenduidige wijze moeten worden uitgevoerd, dan is dit een ineffectieve maatregel. Afschaffen dus. Als de activiteiten echt op een eenduidige wijze moeten plaatsvinden, dan is automatiseren, bijvoorbeeld via RPA, veel effectiever.”

Van de Ven benadrukt dan ook: “Ik zou ongelooflijk blij worden als we stoppen met procesbeschrijvingen maken. Want als je wilt dat een proces op een bepaalde manier gebeurt, automatiseer het direct. Je dwingt het dan ook af.” En met een knipoog voegt hij toe: “Als je morgen zou stoppen met procesbeschrijvingen, wordt alleen de accountant boos. Maar daar moet je je niks van aantrekken.”

Process mining: een onderschat instrument
Van de Ven is stellig over welke technologische ontwikkeling op dit moment het meest onderschat wordt bij de impact op de AO.  “Als je nu kijkt naar RPA, big data en blockchain, dan is dat process mining. Het blijft voor mij altijd weer verbazingwekkend om te zien op wat voor verschillende manieren eenvoudige processen zoals Purchase-to-Pay in de praktijk worden uitgevoerd. Bij process mining leidt dit dan tot een spaghetti-achtig schema en niet tot een lijntje van bestellen, ontvangen goederen en factuur, en vervolgens betalen. Op basis van dit feitelijke verloop kunnen veel verbeterprocessen worden doorgevoerd.”

Zijn tip: “Het starten met process mining kan heel goed op basis van afstudeerprojecten van studenten. Bij mijn RC-groep zijn er altijd wel enkele deelnemers die een dergelijk project willen doen. Probeer het gewoon uit met een gratis licentie en zie wat het oplevert.”

Zeven handtekeningen, nul vertrouwen
Tot slot deelt hij een treffend praktijkvoorbeeld van een beursgenoteerd fonds, waar process mining een opvallende vorm van schijnzekerheid blootlegt. “Bij de autorisatie van een factuur kwam het voor dat er zeven handtekeningen nodig waren. Nummer één denkt dat er nog zes komen en nummer zeven zal wel denken dat er al zes zijn geweest. Een ineffectieve maatregel die toch nog vaak voorkomt.”

Direct toepasbare inzichten in AO nieuwe stijl? Volg de cursus AO nieuwe stijl voor financials met Prof. dr. Arco van de Ven RA bij Sijthoff Accountants Academy. Ontdek in een dag hoe je de effectiviteit en efficiency van jouw administratieve organisatie verbetert. Meld je vandaag nog aan.

Ook interessant: Prof. dr. Arco van de Ven RA: ‘Finance, neem het heft in eigen handen bij ESG – anders krijg je de ellende later op je bordje’