Integratie is essentieel

Ondernemingen moeten op steeds meer gebieden aan steeds meer partijen verantwoording afleggen. Zo moeten zij zich correct gedragen op de gebieden accounting, integriteit, financiën en milieu en op het terrein van corporate governance, veiligheid en risicomanagement.

En niet alleen de traditionele aandeelhouders eisen inspraak in de strategische keuzes van de onderneming. Ook private equity-partijen, hedge funds en toezichthouders houden nauwgezet een vinger aan de pols. Ondernemingen vragen zich dus voortdurend af: doen we dingen goed en doen we de goede dingen?

Veel ondernemingen zijn bezig met het herinrichten van hun organisatie zodat ze een antwoord krijgen op deze vragen. Governance, risk en compliance is hierbij de meest gebruikte aanpak. GRC is ontstaan omdat gangbare methoden voor risicomanagement en compliance ongeschikt bleken voor de snelheid en complexiteit van bedrijfsvoering. GRC heeft de afgelopen tijd veel aandacht gekregen. Dit is in de toekomst niet anders. Veel discussies gaan over de exacte definitie van GRC. Daardoor wordt vergeten waar het echt om gaat: GRC kan alleen slagen als het geïntegreerd wordt aangepakt.

9 deelgebieden
In de meeste organisaties is GRC losgekoppeld van de primaire bedrijfsprocessen en het besluitvormingsproces. De onderdelen van GRC vormen daarmee losse silo’s in het bedrijf, elk met hun eigen organisatie, functionele processen, geografie en technologie. Het gevolg? Het management heeft geen totaaloverzicht van de risico’s in de onderneming. We kunnen dit silo-denken alleen doorbreken door een geïntegreerde aanpak van GRC.

Een plan in negen deelgebieden:

1 Beleg het leiderschap van GRC bij het hoogste management
2 Definieer een duidelijke afb akening, doelstellingen, policy’s en procedures
3 Zorg ervoor dat het governance-model voor GRC de drie zogenoemde layers of defense dekt: managementverantwoordelijkheid voor risk and control, sturing en monitoring van risk and control (bijvoorbeeld in een control of riskafdeling) en compliance van risk and controls (bijvoorbeeld in een internal audit of compliance-afdeling)
4 Richt het systeem van risicomanagement op strategische, operationele, financiële en compliance risico’s
5 Besteed steeds aandacht aan de drie thema’s mensen, processen en middelen
6 Integreer in een GRC-project minimaal twee vormen van wet- en regelgeving. Voorbeelden daarvan zijn: code Tabaksblat, Sarbanes-Oxley wetgeving, orivacy, ISO27001, HACCP, douanewetgeving (authorised economic operator), FDA, Food & Safety, exportregelgeving, OPTA, Basel2, btw-regelgeving
7 Maak efficiënt gebruik van informatietechnologie. Bijvoorbeeld door een GRC-database te automatiseren, interne controles geautomatiseerd uit te voeren en transactiedata te monitoren
8 Gebruik de uitkomsten van een GRC-proces voor doeleinden als in controlstatements, SAS70-verklaringen, ISO-certifi cering, FDA-certifi cering, maar ook als rapportagemiddel voor compliance-afdelingen en internal audit
9 Richt GRC op bedrijfsprocessen als order to cash, procurement to pay, plan to production, maar ook op ondersteunende processen als tax (VpB, btw, douane, IB), treasury, externe verslaggeving en HR

Positief
Een dergelijk geïntegreerde aanpak van GRC maakt ondernemingen effectiever. Ze krijgen beter zicht op de risico’s en daarmee verbeteren ze de prestaties. Daarnaast worden ze efficiënter: redundante bedrijfsonderdelen en processen verdwijnen, interne controlemaatregelen worden geoptimaliseerd en er komen meer geautomatiseerde testen. Dat zorgt voor meer operational effectiveness en een effi ciënter gebruik van mensen en middelen. Kortom: ondernemingen doen dingen goed én ze doen de goede dingen.

Jacques Buith, Governance Risk & Compliance, Deloitte Accountants