Hoe minder meer kan zijn
In de praktijk blijkt afscheid nemen van controls een lastige opgave voor veel organisaties. In dit blog ga ik in op het concept van control frameworks en op de vraag hoe control frameworks efficiënter en effectiever kunnen en wat ervoor nodig is om dit succesvol tot uitvoering te brengen.
Controls - van theorie naar praktijk
Volgens de COSO-definitie is een control een proces dat is gericht op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in bedrijfsprocessen, financiële rapportages en naleving van wet- en regelgeving. Controls zijn gericht op het aanpakken van risico’s die mogelijk het behalen van organisatiedoelstellingen verhinderen. Nadat een risico is geïdentificeerd en beoordeeld, kunt u kiezen om met een of meerdere controls het geïdentificeerde risico te neutraliseren of te reduceren. Met als doel dat de kans op de mogelijke dreiging, of het effect ervan, afneemt. Ik gebruik hier bewust de woorden ‘kunt u kiezen’ - want ik zie vaak dat wordt vergeten dat het accepteren, vermijden of overdragen van risico’s ook een optie is. Controls zijn niet de enige manier om risico’s aan te pakken.
Maar in de praktijk zie ik vaak dat voor alle geïdentificeerde risico’s controls worden geïmplementeerd. En om maar voorzichtig genoeg te zijn, worden veel van deze controls gemarkeerd als ‘key controls’ en uitgebreid beschreven, wat resulteert in uitgebreide checklists en behoorlijk wat terugkerend werk. Het is opmerkelijk dat control frameworks in veel organisaties ongecontroleerd hebben kunnen groeien, hetgeen een toename van werkzaamheden, een inefficiënte uitvoering en - belangrijk - een gebrek aan overzicht in de hand werkt.
Dit leidt tot een tekort aan transparantie. En uw mensen verdwalen omdat ze het grotere geheel niet meer kunnen overzien. Om nog maar niet te spreken over inefficiënties en onnodige kosten. Daarom is het nodig om eens met een scherpe blik naar uw control framework te kijken en er met een rode pen doorheen te gaan: controlrationalisatie. Niet alleen met als doel om kosten te besparen, maar ook om tijd, energie en mentale ruimte te investeren in nieuwe zaken die waarde opleveren - ‘cost out, value in’.
Wat controlrationalisatie betekent en waar te beginnen
Conceptueel bestaat de rationalisatie van controls uit vier stappen. De eerste - en misschien de belangrijkste - isverminderenvan het aantal controls, door opnieuw te beoordelen welke controls nu daadwerkelijk nodig zijn om een risico te adresseren. Ten tweede raad ik u aan testandaardiserendoor alle controls die een vergelijkbaar risico in uw organisatie adresseren, te harmoniseren. De derde dimensie is hetsimplificerenvan de nuovergebleven controlsdoor complexiteit en inefficiënties te reduceren. En tot slot kunt u waar mogelijk uw gestandaardiseerde en versimpelde controlsautomatiseren, zodat u de hoeveelheid handmatig werk - en dus de bijbehorende menselijke fouten - vermindert.
Dit verhaal wordt interessant als u eens gaat nadenken over waarom controlrationalisatie eigenlijk nauwelijks gebeurt- of op z’n best in een slakkengang. Vraagt u zichzelf eens af: waarom zou ik iets aanpassen wat eigenlijk wel goed werkt? Deze vraag is natuurlijk niet alleen van toepassing op controls, maar laten we ons hier even toe beperken. U kunt natuurlijk kiezen voor een uitgebreid control raamwerk met middelmatige resultaten, als uw prioriteiten elders liggen. Er zijn immers genoeg meer urgente zaken. Maar wanneer het van belang is dat u minder kosten gaat maken, is het niet langer een optie om alle controls gewoon maar te laten zoals ze zijn. Bent u benieuwd hoeveel u kunt verbeteren? Ik heb een gedachte-experiment voor u: als u uw control framework helemaal opnieuw zou kunnen opbouwen, in hoeverre zou dat raamwerk dan nog lijken op uw huidige? Als de verschillen groot zijn, hebt u volgens mij een businesscase. Een die niet alleen gericht is op het besparen van kosten, maar ook op het creëren van ruimte voor investeringen.
Waarom en hoe controls elimineren en simplificeren
In mijn vorige blogliet ik al even vallen dat ik graag tuinier en ik denk dat Risk heel wat lessen kan trekken uit tuinieren. Elk jaar, in de periode tussen het einde (voordat de winter begint) en de aanvang (in de lente) van het seizoen is er ruimte voor wat ik in deze context maar even ‘eliminatie’ noem - afscheid nemen van wat niet langer nodig is. Zo nu en dan verwijder je onkruid, haal je oude of overtollige planten weg en snoei je de bomen en struiken. Dit om te zorgen dat in het komende seizoen de blijvende planten de ruimte krijgen om te groeien en bloeien.
Ik gebruik hier deze analogie omdat er in de loop van de jaren wel meer en meer controls worden toegevoegd, maar nooit verwijderd als ze niet meer nodig zijn. Daarom zouden de jaarlijkse risk management cycles dit element van het tuinieren moeten bevatten, een periodieke ‘ronde van eliminatie’. En op dit moment is bij veel organisaties denk ik eenmalig een grote schoonmaak nodig.
Bovendien is simplificeren van processen belangrijk. Controls in processen worden vaak vertaald naar sign-offs - en dan niet één, maar meteen meerdere. Sign-offs geven een veilig gevoel en symboliseren een idee van eigenaarschap, zoals een schilder zijn of haar naam zet onder een meesterwerk. Maar in de praktijk kan dit juist contraproductief zijn: hoe meer sign-offs, hoe minder de waarde van een handtekening. En dit kan leiden tot een situatie waarin niemand meer eigenaarschap voelt en verantwoordelijkheid neemt. Wat weer leidt tot minder grip en een illusie van ‘in-control’ zijn. Ik zou daarom zeggen dat naast het weglaten van controls ook het rationaliseren van het aantal sign-offs raadzaam is. En vervolgens ook echt degene die de noodzakelijke controls uitvoert volledig in staat te stellen om verantwoordelijkheid te nemen voor zijn of haar werk.
Combineer slim denken met slimme technologie
Ik krijg vaak de vraag welke tooling geschikt is voor het automatiseren van controls. Mijn antwoord is dan dat automatiseren niet de eerste stap is. De basis voor eliminatie en standaardisatie van controls is ‘process & controlmapping en - (re)modelling’. Dit helpt u om inzicht te krijgen in uw controls. Onze tool Pεrspective combineert proces- en control mapping met data analyse. En als onderdeel van de diagnostische fase worden controls die dubbel of overbodig zijn, en dus geen risico helpen mitigeren of een vereiste vanuit de regulering veiligstellen, verwijderd.
Maar de beste tool die ik kan aanraden is ‘cerebrum’ - oftewel: uw brein. Even zonder grappen, ik geloof dat het startpunt voor eliminatie en simplificering een nauwkeurig en goed doordacht risk assessment is. Als u weet wat uw risico’s zijn en u de risk appetite voor uw belangrijkste risico’s expliciet heeft gemaakt, dan kunt u de geschiktheid van uw controls om deze risico’s te adresseren evalueren. En dus afscheid nemen van de controls die u niet meer nodig heeft. Voelt u zich oncomfortabel als u dit doet? Gefeliciteerd, dan bent u op het juiste pad.
Controlrationalisatie maakt de weg vrij voor de continue monitoring van uw blootstelling aan risico’s. Het potentieel van continuous monitoring hangt overigens wel af van de mate van automatisering van controls. Ons Continuous Monitoring Platform (CMP) is een cloud platform waarin geautomatiseerde controls real-time worden getest, met een volledige populatie, wat handmatige steekproeven en testen overbodig maakt. CMP biedt dashboards die de real-time status van uw compliance weergeven, inclusief details over uitzonderingen. Workflow functionaliteit biedt u de mogelijkheid om hun impact en de response snel te bepalen.
Ik zie vaak dat organisaties beginnen met automatisering. Maar u zult hier niet de vruchten van plukken, vooral niet wanneer u met name kosten in beschouwing neemt, als u niet eerst uw controls rationaliseert. En tegelijkertijd is het gebruik van tools voor proces- en controlmapping een must. Er is geen losstaande tool of een losstaand platform beschikbaar waarmee u in één keer uw gehele interne control cyclus, van compliance vereisten tot de scoping, het ontwerp, de uitvoering, het monitoren en het rapporteren van controls, kunt digitaliseren. Het vereist een combinatie van slimme technologie en slim denken.
Het gaat om uw response
Om af te sluiten met een filosofische noot: zowel boeddhistische als stoïcijnse denkers gaan uit van het principe dat men niet kan controleren wát er gebeurt, maar dat men alleen invloed heeft op zijn of haar reactie op gebeurtenissen. In het domein van Risk betekent control dus niet dat u zich moet overladen met controls - want u hebt geen controle over bepaalde gebeurtenissen. Bepaal uw response zorgvuldig en houd er rekening mee dat dit niet altijd betekent dat u iets hoeft te doen, zodat u tijd overhoudt voor een risico dat wellicht belangrijker is.
Minder controls leidt tot meer controle. Dit klinkt misschien contra-intuïtief en ongemakkelijk, maar ik hoop dat ik als fervent tuinier wat zaadjes heb geplant die u helpen om deze gedachte te cultiveren.
