Er liggen geweldige mogelijkheden om de kosten van risicomanagement, compliance en dergelijke drastisch te verlagen en tegelijkertijd het nut ervan te laten stijgen. Continu inzicht in risico's én kansen levert elk bedrijf zeer snel resultaat op. Zonder eenduidigheid leiden alle inspanningen echter hooguit tot een rapportje waarin staat dat het bedrijf compliant is.

"Nu zal niets van wat zij denken te doen voor hen onuitvoerbaar zijn. Welaan, laat ons nederdalen en daar hun taal verwarren, zodat zij elkanders taal niet verstaan." Aldus Genesis 11 in het Oude Testament, over het streven van vele duizenden jaren geleden om een toren te bouwen waarvan de top tot de hemel reikte. De bouw van deze overbekende toren van Babel werd gestaakt, omdat het simpelweg niet meer mogelijk was een dergelijk complex bouwwerk te realiseren zonder één taal. Tot op de dag van vandaag zijn we bekend met de term Babylonische spraakverwarring. De parallellen met de hedendaagse situatie zijn duidelijk, bij elk bedrijf van enige complexiteit kan op elk moment van de dag de verwarring toeslaan als gevolg van het ontbreken van één taal. De Letter of Representation vraagt naar compliance met de 'sign authorities'. Maar wordt daar de lijst van HR mee bedoeld, de spreadsheet van Finance of het document van Juridische zaken? Dit zijn zomaar voorbeelden, en zo zijn er nog vele te noemen. Zeker in de afgelopen jaren zijn bedrijven overvallen door een documentatie- en compliancewoede vanwege wet- en regelgeving, interne richtlijnen en auditors van verschillende richtingen. Fraudebeheersing, Sarbanes-Oxley-404-compliance, ISO-certificering, FDA-compliance, IFRS en Bazel II. We moeten daarom terug naar de periode voor Babel, in overdrachtelijke zin, naar één taal waarin de interne richt-lijnen en procedures worden vastgelegd. Naar één keer vragen naar compliance met deze richtlijnen. Eenduidigheid is de enige weg, elke andere is uiteindelijk gedoemd in een moeras te verdwijnen. Het beste bewijs hiervoor is de totale afwezigheid van enige relevante resten van de beroemde toren van Babel. Voor het vastleggen van één taal is energie en vasthoudendheid nodig, doortastendheid en bovenal een commitment van de bedrijfstop die het belang ervan moet inzien. Laat het geen academisch project worden. Een bedrijf met één taal die hier en daar beter kan, is aanzienlijk beter af dan een bedrijf met drie verschillende benaderingen die allemaal perfect zijn. Verder mag niet onvermeld blijven dat het gebruik van het meest flexibele instrument dat de mensheid sinds de uitvinding van het buskruit heeft geproduceerd, ten zeerste moet worden afgeraden. We spreken hier uiteraard over de spreadsheet, de bron van veel ergernis en hoge kosten in vele projecten. Er zijn bedrijven die letterlijk met duizenden spreadsheets compliance met bijvoorbeeld Sarbanes-Oxley regelen. De praktijk bewijst dat het niet onmogelijk is, maar de beheerskosten zijn gigantisch. Zie de spreadsheets als een fantastisch kaartenhuis waaraan vele mensen hebben gewerkt. Het ziet er prachtig uit, maar als iemand het aanraakt of de kamerdeur opendoet en wat tocht veroorzaakt, stort het in elkaar. En er doet altijd iemand de kamerdeur open: er vindt een fusie of overname plaats, een bedrijfsonderdeel wordt afgestoten, de auditor wil een andere view op dezelfde gegevens of de operations manager wil een benchmark. Na SOX wil het bedrijf het hele risicomanagement of kwaliteitsmanagement op dezelfde leest schoeien. Iedereen die wel eens heeft geprobeerd een kaartenhuis uit te breiden herinnert zich de zachte plof en het gevoel erna. Instrumentarium Het kan beter. Eerst moet het fundament kloppen, vervolgens moet je als bedrijf weten wat er allemaal mis zou kunnen gaan en daarin moet je dan als management prioriteiten stellen. Daarna moet je maatregelen nemen, moet je zorgen dat alle betrokkenen op de hoogte zijn en dat er juiste opvolging plaatsvindt. Met andere woorden, ongeveer wat ook al is vastgelegd in het COSO-raamwerk. Mits goed toegepast een goed instrument. Het fundament, de beheersomgeving of 'control environment', wordt in vele projecten verwaarloosd. Terwijl bij de meeste beroemde cases dit juist het punt was waar de bedrijven de mist in gingen. Er zijn mensen die beweren dat Enron op moment van de grote klap SOX-404-compliant was. Onbewijsbaar, maar een stelling met meer dan een kern van waarheid. Risicomanagement start bij een goed fundament: goede 'whistle-blower policies' en anonieme assessments helpen daarbij. Daar is vaak meer uit te halen dan uit de gigantische hoeveelheden beheersmaatregelen. Vervolgens de risicobenadering en beheersmaatregelen. Veel internal-controlprojecten zijn gericht op het identificeren van controls. Niet voor niets stelde de PCAOB (de door de Amerikaanse SEC in het leven geroepen organisatie om de auditors, en daarmee beursgenoteerde bedrijven, te bewaken en van guidance te voorzien) vorig jaar mei in een bericht dat organisaties veel meer vanuit risico's moeten redeneren. Als dit risico zich manifesteert, heeft dat dan een materieel effect op de business? Zo niet, dan niet. Verder wordt risicomanagement veel te vaak gezien als risico's mijden. Bijna dagelijks worden er artikelen gepubliceerd waarin wordt gesteld dat de ondernemersgeest de das om wordt gedaan als gevolg van risicomanagement. Om verdere verwarring te voorkomen: ondernemen = risicomanagement. Een ondernemer is een ondernemer, omdat hij bereid is bepaalde bedrijfsrisico's te nemen die iemand anders niet wil nemen. Elke ondernemer is continu bezig risico's af te wegen. Onnodige problemen worden alleen veroorzaakt door het ontbreken van één taal, de monsterlijke hoeveelheden spreadsheets en de neiging om risico's te managen die niet gemanaged hoeven te worden. Iedereen begrijpt dat het volstrekt idioot is om een komeetbewaker aan te stellen, die op het dak van het kantoor naar de hemel staat te turen voor het geval dat. Als gevolg van SOX en andere, soortgelijke projecten lopen er inmiddels hier en daar best wat komeetbewakers rond. Dat is geen risicomanagement, dat is dom, duur en onnodig. Een dergelijk statement is echter ook 'meehuilen met de wolven'. Veel bedrijven zullen erkennen dat een inhaalslag op het gebied van beheersmaatregelen zeker verstandig was (en is). Veel inspanningen van de afgelopen tijd op dit vlak zijn dan ook feitelijk werk dat in de jaren ervoor was blijven liggen en op enig moment had moeten gebeuren. Communicatie valt en staat met eenduidigheid. Dit voert weer terug naar het eerste en belangrijkste punt: één taal. Taal heeft altijd een communicatiedoel, maar het hangt sterk van de doelgroep af welke taal het meest geschikt is. In de theoretische natuurkunde wordt een bijzonder eenduidige en heldere taal gebruikt, die een perfect communicatie-middel is voor de doelgroep. De niet-bèta's zullen echter met enige terughoudendheid terugdenken aan de wiskunde van de middelbare school. In dit geval is feitelijk het hele bedrijf de doelgroep. Taal moet dus bedrijfsbreed begrepen kunnen worden, en voorzover mogelijk vrij van ambiguïteiten, dus eenduidig zijn. Dat stelt hoge eisen aan de taal, maar in feite nog hogere eisen aan de projectleider die hiervoor verantwoordelijk is. Houd het simpel, geef heldere definities van wat met een proces wordt bedoeld, wie de proceseigenaar is, wie de uitvoerende en wat een beheersmaatregel is. Maak een 'convention manual' waarin eenduidig staat hoe alles moet worden vastgelegd en wie daarvoor verantwoordelijk is. Bij de opvolging van de risico's en beheersmaatregelen moeten de juiste keuzen gemaakt worden wat betreft de wijze waarop en de mate waarin opvolging dient plaats te vinden. In een SOX-project gelden daarvoor strikte regels, maar ook daar is het mogelijk om slimme technieken toe te passen. Het is mogelijk om echt kritische zaken continu te 'meten' en zodoende direct te weten of er iets misgaat. Dat is natuurlijk niet nodig voor elke beheersmaatregel, wel voor die met direct grote en/of snel onherstelbare gevolgen. In elk geval moet de opvolging maar één keer plaatsvinden. Het is niets anders dan geld weggooien om één beheersmaatregel op dag één voor SOX te testen, drie maanden later iemand anders terug te laten komen voor een EDP-audit en weer iemand anders op weer een ander moment een corporate ICT-audit te laten uitvoeren. Deze audits, assessments en questionnaires moeten ofwel met elkaar in logisch verband staan, ofwel zo snel mogelijk worden geïntegreerd. En ook hier geldt: één taal, één set aan afspraken helpt daar geweldig bij. Dr.ir. Luc Brandts is oprichter en CTO van Bwise, leverancier van risicomanagement- en complianceoplossingen