Control synthese: 1+1=1

Interessante vraag die je jezelf kunt stellen: hoe heeft het kunnen gebeuren dat financiële instellingen – achteraf gezien – onverantwoorde risico’s hebben kunnen, willen en mogen nemen ondanks de vele beheersactiviteiten die zich met de inhoud en het proces bezighouden?

Het is heel goed denkbaar dat door de bomen het bos niet meer wordt gezien en niemand meer het volledige overzicht heeft. Of er wordt vanuit gegaan dat ‘die andere afdeling dat wel oppakt’. Daarnaast worden er vraagtekens geplaatst bij de torenhoge beheerskosten die organisaties maken.

In de publieke sector is SiSa (Single information Single audit) een ontwikkeling met als doel het verminderen van de beheerskosten door het éénmalig en eenduidig vaststellen van de beheersing. Iets soortgelijks zijn de GCR-audits, de audits waarbij in een keer wordt gekeken naar Governance, Compliance en Risk Management- aspecten.

Een andere ontwikkeling uit met name de profitsector is ‘control rationalisatie’. Dit behelst het verminderen van beheerskosten door het opnieuw tegen het licht houden van de vanuit wetgeving (met name SOx) vastgestelde beheersmaatregelen. Dat control rationalisatie (dit is een breder begrip dan ‘controle’ in de zin van controleren), nu nog vaak leidt tot alleen minder in plaats van betere beheersmaatregelen is een aparte kwestie.

Aan de hand van de huidige praktijk worden een aantal problemen geschetst binnen de beheersingstructuren van organisaties. Het hele scala van inrichtings- en beheersingsstructuren kan op een efficiëntere en effectievere wijze ingezet worden. Dit is te realiseren door de diverse bestaande ‘control’ invalshoeken meer op elkaar af te stemmen, meer samenwerking te zoeken en het geheel op een andere manier te benaderen. Dit heet control synthese.

Herkent u dit?
In menig organisatie zijn er allerlei afdelingen, functies of andere organisatorische eenheden die zich bezighouden met de inrichting en/ of ‘control’ van de organisatie. Veelal zijn dit op zichzelf staande eenheden die hun eigen afgebakende gebied en verantwoordelijkheid hebben, hun eigen stakeholders kunnen benoemen en daaraan ook hun status ontlenen.

Bijvoorbeeld de afdeling Risk Management bij een financiële instelling. Dit is vaak een afdeling waar de deuren gesloten zijn, waar ‘belangrijke’ projecten worden uitgevoerd en waar de rest van de organisatie met enig wantrouwen en angst naar kijkt.

Deze afdeling houdt zich namelijk bezig met projecten ten behoeve van risicobeheersing, voert risk assessments uit, beoordeelt de processen en de uitvoering van deze processen op de risico’s en schrijft kritische rapporten en aanbevelingen voor de Raad van Bestuur en Risk Committee.

Een deur verder zit de afdeling Compliance. Deze afdeling houdt zich bezig met de consequenties die veranderende weten regelgeving op de organisatie en processen heeft en de implementatie ervan. Bijvoorbeeld de implementatie van de Wet op het financieel toezicht (Wft).

Dit gebeurt veelal in projectvorm en voor iedere nieuwe wet wordt een nieuw project opgestart. Belangrijk aanspreekpunt voor hen is de Chief Compliance Officer. Een verdieping hoger zit de afdeling BPM. Deze is verantwoordelijk voor het efficiënt inrichten van processen binnen de betreffende bank.

Hier worden projecten uitgevoerd met als doel kostenbesparing, doorlooptijdverkorting en het vertalen van strategische keuzes naar operationele doelen en processen. In de top van organisaties is hier veelal niet een eenduidig aanspreekpunt, dit kan zijn de CFO, de COO maar soms ook een CIO.

En dan hebben we verder in het gebouw nog een veelheid aan afdelingen zoals bijvoorbeeld Kwaliteitsmanagement, Internal Audit, Financial Control en Business Control. Ook deze vervullen een belangrijke rol bij het inrichten van kwaliteitsprocessen, het toetsen van de procesbeheersing en het beheersen van de financiëleen businessresultaten.

Uiteraard hebben ze een belangrijke positie binnen de organisatie en rapporteren aan hun eigen ‘C-level’. Al deze afdelingen hebben veelal eigen ‘control frameworks’ en processen die ze koesteren en die volgens hen uniek zijn en daarom noodzakelijk op een andere wijze zijn ingericht en beschreven.

Als je het lijnmanagement vraagt naar de verschillen tussen deze afdelingen vragen zij zich oprecht af of dit niet gewoon dezelfde suboptimaal ingerichte afdeling is, die dan weliswaar vaak langskomt om in andere woorden dezelfde vraag te stellen of dezelfde boodschap te verkondigen.

Ook is in deze veelheid van beheersgerichte afdelingen de vaak zeer beperkte kennis over elkaars werk, de overlap van werkzaamheden en de minimale samenwerking en kennisdeling op zijn minst opvallend te noemen. Stelt u zich in relatie tot het bovenstaande eens de vraag: wie is verantwoordelijk voor de implementatie van de Basel-richtlijnen bij een bank?

Hoe moet het dan wel?
Uiteraard is niet alles kommer en kwel en ook zijn niet al die taken en rollen overbodig. In de basis vervullen al deze afdelingen een nuttige rol in de beheersing. Feit is ook dat een belangrijke gemene deler in al deze control activiteiten de processen van betreffende organisaties zijn. Deze processen zijn dus de verbindende factor te noemen in de spaghetti van afdelingen, functies en activiteiten.

De laatste constatering is een belangrijke, het houdt in dat processen centraal moeten staan bij de inrichting en toetsing. Zoals al eerder genoemd werken allerlei afdelingen veelal met hun eigen processen en ‘frameworks’. In de meeste gevallen is er geen of zeer beperkt sprake van samenwerking en afstemming, laat staan van een uniform gebruik van deze processen en frameworks.

Wanneer deze processen gebruikt worden als een uniforme basis voor alle inrichtings- en toetsingsactiviteiten wordt mogelijk ook voorkomen dat organisaties zich bezighouden met het continu blussen van brandjes in plaats van structurele aandacht voor preventie en detectie.

Daarnaast is het zo dat de activiteiten aan de inrichtingskant als waardetoevoegende activiteiten worden gezien. Dit in tegenstelling tot de activiteiten aan de toetsingskant. Deze  worden veelal gezien als lastige verplichtingen die geld kosten in plaats van waarde toevoegen.

Waardetoevoeging
Organisaties moeten veel meer denken in waardetoevoeging aan beide kanten, dus zowel aan de inrichtingskant als aan de toetsingskant. Ook aan de toetsingkant is waarde te creëren, bijvoorbeeld door een beter imago, beperking van fouten en het voorkomen van toekomstige schade. Goede beheersing zit in de hele cyclus, van preventie tot detectie.

Daarnaast kunnen organisaties veel kosten besparen door een beter hergebruik van processen en frameworks, maar ook meer en sneller waarde creëren door processen en frameworks in een ‘centrale bibliotheek’ op te nemen. Aan de inrichtingskant wordt deze bibliotheek continu aangepast aan veranderende wet- en regelgeving en worden processen efficiënter ingericht.

Vervolgens kan de toetsingskant deze processen uit de bibliotheek gebruiken voor toetsing. Groot voordeel van een centrale bibliotheek met processen waarop de ‘business rules’ (bijv. wet- en regelgeving) worden toegepast is dat dit leidt tot een vollediger beeld van de organisatie én dat de processen worden ingericht met inachtneming van alle belangrijke stakeholders van binnen en buiten de organisatie.

Concreet houdt het bij een bank in dat de processen worden gemodelleerd met inachtneming van de noodzakelijke beheersmaatregelen vanuit Risk Management, de geldende wet- en regelgeving van Compliance en de efficiencymogelijkheden vanuit BPM en kwaliteitsmanagement.

Noodzakelijk is dan wel dat afdelingen, maar meer nog functionarissen, bereid zijn hun vaste rituelen los te laten en te denken in organisatiebelangen in plaats van individuele belangen als macht, hiërarchie en status. Ook is het noodzakelijk dat deze afdelingen en functionarissen beter communiceren en hun werkzaamheden met en op elkaar afstemmen.

De vraag is hoe dit te realiseren valt binnen het doolhof van interne en externe stakeholders en afdelingen. Wat dat betreft is het essentieel dat er één functionaris zich verantwoordelijk voelt maar ook verantwoordelijk is voor deze bibliotheek. Deze persoon moet sturen op het organisatiebelang maar ook een belangrijke rol vervullen in de communicatie en afstemming.

Gezien het belang van de betreffende activiteiten in organisaties en dus het belang van de processen pleiten wij voor een verantwoordelijk functionaris op het hoogste niveau in organisaties, de CPO, Chief Process Officer!

Sander B.E. van Meurs, Partner Process Consulting ConQuaestor en Drs. L.Z. Nagy EMIA RO Business manager Audit & Risk Con- Quaestor