Geïntegreerde aanpak van Governance, Risk & Compliance (GRC)

Door Jan Jaap Omvlee

Overheid en samenleving verlangen dat organisaties de regels naleven, aantoonbaar ‘in control’ zijn en transparantie nastreven. Maar de praktijk is weerbarstig. Peter- Paul Brouwers, partner KPMG, pleit voor een proactieve opstelling van de CFO.

De CFO anno 2010 is een duizendpoot. Hij of zij laat de juiste cijfers zien, is ‘in control’ op het terrein van financiële en niet-financiële risico’s, verbetert de performance van de organisatie, houdt zich bezig met de inrichting van ITsystemen, met scenarioplanning en maatschappelijk verantwoord ondernemen. En alsof dat nog niet genoeg is, kijkt de CFO als ‘businesspartner’ over de grenzen van de afdelingen heen. Is de moderne CFO met een dergelijk breed takenpakket überhaupt in staat om ‘in control’ te zijn?

“Risico’s, verantwoordelijkheden en wet- en regelgeving hangen nu eenmaal nauw met elkaar samen”, zegt Peter-Paul Brouwers, “en de wijze waarop de CFO hiermee omgaat, is vaak bepalend voor het succes van de onderneming.” Maar tegelijkertijd vat houden op gedragscodes, wet- en regelgeving en goed risicomanagement blijkt voor veel bestuurders steeds lastiger. Het ontbreekt veel bestuurders simpelweg aan overzicht, omdat taken en verantwoordelijkheden zijn verdeeld – over afdelingen, vestigingen of landen.

GRC raakt de kern
Een bijkomend probleem is dat GRC verworden is tot een containerbegrip dat vele gezichten en gedaanten kent. Aan de voorkant van de organisatie behelst GRC het integreren van interne controleaspecten binnen het herontwerp van bedrijfsprocessen en het implementeren van ERP-systemen. Aan de achterkant kan GRC betrekking hebben op het gebruikmaken van digitale gegevens en informatie bij een fraudeonderzoek.

Brouwers: “Het uiteindelijke doel is helder: de bedrijfsrisico’s zijn onder controle, terwijl de complianceprocessen naadloos aansluiten op de bedrijfsstrategie en geïntegreerd zijn in de reguliere bedrijfsprocessen. De weg erheen is echter lastig. GRC gaat namelijk over de vraag hoe bestuurders governance en verantwoordelijkheden hebben belegd binnen de organisatie (de harde aspecten) en hoe zij daarmee omgaan binnen de waarden en cultuur van de onderneming (de zachte aspecten). GRC raakt dus altijd de kern van de onderneming en de rol van de CFO daarin.”

Geen sexy onderwerp
GRC mag dan belangrijk zijn, een populair gespreksonderwerp in de boardroom zal het niet worden, verwacht Brouwers. “Voor de meeste CFO’s is GRC geen sexy thema, aangezien het gaat om het anticiperen op potentiële risico’s, in eerste instantie geld kost en de waarde ervan pas achteraf blijkt. Dat zal niet veel bestuurders in vervoering brengen.”

Begrijpen doet hij het wel. “GRC is doorgaans onzichtbaar en wordt pas zichtbaar als het fout gaat: bijvoorbeeld bij fraude, een verkeerde transactieverwerking of een onjuiste maandrapportage.” In een ideale wereld worden GRC-data – gegevens, wetgeving, modellen, protocollen en verantwoordingsinformatie – op een centrale plaats opgeslagen en bijgehouden en zo veel mogelijk geïntegreerd in de reguliere bedrijfsprocessen. Onzichtbaar en vaak ook onbegrepen, zegt Brouwers. “

“Waar geïntegreerd GRC niet van de grond komt, is dat dikwijls te wijten aan silovorming. Vaak is er sprake van een scheiding tussen de risicoen complianceafdelingen, en de risico- en complianceactiviteiten zoals geïntegreerd in de reguliere bedrijfsprocessen. Het gevolg is een gebrek aan coördinatie tussen GRC-initiatieven, met alle gevolgen van dien, zoals hogere kosten. Ernstiger wordt de situatie wanneer de belangrijkste risico’s en controlemiddelen niet adequaat worden beheerd en er sprake is van schijnzekerheid.

Niet gezamenlijk, maar geïntegreerd
Om het belang van geïntegreerd GRC aan te geven noemt Brouwers het voorbeeld van consistente en kwalitatief goede masterdata. “In de praktijk is er niet altijd sprake van eensluidende definities en kwalitatief goede masterdata: een absolute voorwaarde voor correcte maandrapportages, voor beter werkkapitaalbeheer, voor business improvement.”

‘Geïntegreerd’ is iets wezenlijks anders dan ‘gezamenlijk’, verduidelijkt Brouwers. “Het gaat om volledig geïntegreerd denken en werken volgens een businessmodel waarin eenduidigheid bestaat over alle binnen het GRC-domein uit te voeren werkzaamheden, van strategiebepaling tot rapportage, en aantoonbare effectieve werking en goede samenwerking en afstemming met de activiteiten buiten dit GRC-domein.” (zie illustratie)

Hij schetst hoe afdelingen in de praktijk vaak nog wel samen optrekken, “al dan niet aangestuurd door de CFO, bijvoorbeeld bij risk control self assessments”, maar dat van echte integratie (bijvoorbeeld bij maandafsluitingsactiviteiten) geen sprake is. “Het zal geen verrassing zijn dat de grootste barrière van geslaagde integratie niet op het terrein van de technologie ligt, maar op het menselijk vlak. Geïntegreerd GRC vereist nu eenmaal een aanzienlijke veranderingsbereidheid met tal van valkuilen, onder meer op het punt van communicatie.”

Eerst een visie, daarna de rest
Voor een geslaagde uitrol van GRC is het van belang dat de CFO hierover eerst een visie ontwikkelt. Brouwers: “Het ambitieniveau van het bestuur kan zijn ingegeven vanuit verschillende invalshoeken, bijvoorbeeld vanuit het streven om concurrentievoordeel te behalen door snellere, betere besluitvorming, maar ook vanuit de wens om eerst de interne beheersing aantoonbaar op orde te hebben om klaar te zijn voor de integratie van nieuwe bedrijven.”

_____________________________________________________________________________

Cursus Corporate Governance Codes – 7 PE punten
Corporate governance is verplichte kost voor bestuurders, managers, toezichthouders van beursgenoteerde ondernemingen. Bent u werkzaam in het MKB dan is corporate governance geen verplichting maar wel een zeer mooie tool om vast te stellen of u te allen tijde uw onderneming in control heeft. Doe direct onontbeerlijke kennis op en volg de cursus Corporate Governance Codes. Klik hier voor het gehele programma en aanmelden.
__________________________________________________________________________________ 

Ook in situaties waarin toezicht door toezichthouders plaatsvindt of waarin rating agencies over de schouder van de bestuurder meekijken, kan een geïntegreerde aanpak van risicoen controlfuncties wenselijk zijn. Pas daarna volgen afstemming en overeenstemming over scope en businesscase, het gebruik van het framework – zoals COSO en de ISO 31000-norm – en taal en definities.

Vragen waarover de CFO in dit stadium dient na te denken zijn: Hoe verhouden risico’s zich tot elkaar? Hoe kunnen we verschillende risicomanagement- en compliance-initiatieven integreren in één framework? Hoe zorgen we ervoor dat een controle één keer wordt getest, maar wel meerdere malen gebruikt kan worden voor verschillende regelgevingrapporten? Hoe kunnen we zo veel mogelijk opnemen in geautomatiseerde systemen en inbedden in reguliere activiteiten?

####
Inzicht in performance en processen
Een geïntegreerde GRC-aanpak zal leiden tot een verregaande mate van beheersing van de bedrijfsprocessen, stelt Brouwers. “Daartoe dient de CFO eerst te kijken naar de werking van de gedefinieerde controlemaatregelen, ervan uitgaande dat de opgezette controlemaatregelen in de organisatie afdoende zijn om de risico’s af te dekken. Door middel van geautomatiseerde ‘fact-finding’ kan de werking van controlemaatregelen worden vastgesteld en gedocumenteerd met behulp van GRC-tools. Dit levert inzicht in de performance van processen op.

Het mooie is dat de CFO feilloos kan zien hoe en waar mogelijke procesverbeteringen kunnen worden doorgevoerd op strategisch, tactisch en operationeel niveau.” Een concreet voorbeeld: met de afdeling Sourcing is afgesproken dat de organisatie altijd een betalingstermijn van 90 dagen hanteert; ‘een termijn die alles te maken heeft met het optimaliseren van werkkapitaalbeheer’. “Maar gebeurt dit wel, of vinden er op lokaal niveau afwijkingen plaats waar de CFO of Sourcing geen zicht op heeft?” 

Verschuiving naar CA/CM
Als gevolg van de financiële crisis is de trend zichtbaar dat de verschillende stakeholders van een organisatie een grotere mate van assurance verlangen. Brouwers constateert een voorzichtige verschuiving naar meer continue monitoring en toetsing van bedrijfsprocessen met behulp van continuous auditing en continuous monitoring (CA/CM).

Brouwers: “Ik beschouw CA/CM als een moderne tool voor bestuurders om het maximale uit hun geïntegreerde GRC te halen. Het laat realtime zien dat systemen, processen en besturingselementen functioneren en doen wat ze moeten doen.” Toch schort het nog aan awareness op dit gebied. Brouwers: “Uit ons onderzoek* blijkt dat nog slechts 3 procent van de organisaties CA/CM heeft geïmplementeerd, terwijl slechts 13 procent van de respondenten aangeeft momenteel pilots uit te voeren.”
_____________________________________________________________________________

Cursus Corporate Governance Codes – 7 PE punten
Corporate governance is verplichte kost voor bestuurders, managers, toezichthouders van beursgenoteerde ondernemingen. Bent u werkzaam in het MKB dan is corporate governance geen verplichting maar wel een zeer mooie tool om vast te stellen of u te allen tijde uw onderneming in control heeft. Doe direct onontbeerlijke kennis op en volg de cursus Corporate Governance Codes. Klik hier voor het gehele programma en aanmelden.
__________________________________________________________________________________ 

Door 40 procent van de respondenten wordt het toepassen van CA/CM overwogen, maar men is nog niet tot implementatie overgegaan (25 procent) of niet overtuigd van de toegevoegde waarde (15 procent). Brouwers: “De awareness laat dus nog te wensen over, maar ik verwacht dat dit van korte duur zal zijn: 50 procent van de deelnemers beschouwt de meeromvattende zekerheid met grotere dekking en meer diepgang als een groot voordeel van het toepassen van CA/CM, gevolgd door het verbeteren van de managementinformatie (41 procent) en de mogelijkheid om procesverbeteringen op continue basis door te voeren (38 procent).” Voor hem is het niet de vraag óf CA/CM als onderdeel van geïntegreerd GRC een grote vlucht zal nemen, maar wanneer. Brouwers: “De CFO zal ook in dit proces het initiatief moeten nemen.”

Geïntegreerde GRC-benadering
GRC en COSO-ERM hebben veel gemeen. Binnen het geïntegreerde GRC-denkmodel komen alle COSO ERM-activiteiten, alle doelstellingen en alle lagen in de organisatie aan bod. Daarnaast heeft ERM ook de invalshoek om vanuit alle risicocategorieën een eenduidige en integrale aanpak in te richten. COSO-ERM geeft met name aan welke activiteiten moeten worden verricht voor welke doelstellingen, verdeeld binnen de verschillende organisatielagen. Het geïntegreerde GRC-model geeft juist aan hoe deze wijze van geïntegreerde aanpak en van verbeterde samenwerking kan worden ingericht. Beide modellen vullen elkaar dus goed aan.

65 Procent: integratie hoge prioriteit
Bijna 65 procent van de onderzochte bedrijven geeft aan dat de integratie van gedragscodes, wet- en regelgeving en goed risicomanagement een hoge prioriteit heeft. Bij de meeste bedrijven staat de integratie echter nog in de kinderschoenen. Van de onderzochte bedrijven geeft slechts 11 procent aan gedragscodes, wet- en regelgeving en risicomanagement wereldwijd geïntegreerd te hebben. De kosten van de integratie blijken bij veel bedrijven substantieel te zijn en zo’n 5 procent van de jaarlijkse omzet te bedragen.
KPMG-onderzoek onder 500 bestuurders van ondernemingen naar geïntegreerd GRC, voorjaar 2010

Definities
Continuous auditing (CA) richt zich op het verkrijgen van ‘audit evidence’ en indicatoren uit IT-systemen, processen en beheersingsmaatregelen die op frequente of continue basis worden verzameld door de ‘third line of defense’ van een organisatie, te weten de interne auditafdeling. Continuous monitoring (CM) is een door het management van een organisatie gehanteerde techniek en werkwijze om vast te stellen dat beheersingsmaatregelen en IT-systemen goed functioneren en transacties volgens de gestelde norm accuraat worden verwerkt.

* KPMG-onderzoek ‘Continuous Auditing en Monitoring – Levert het de beloofde voordelen op?’, September 2010