Risicomanager, ga met je tijd mee!

Ondanks grote investeringen in het verbeteren van risicomanagement en interne beheersing, blijken de huidige raamwerken voor risicomanagement nog altijd kostbaar en bijzonder ineffectief. Wat is er aan de hand en hoe kan het anders?

Door Arjan Udding (audding@axveco.com) en Alex Dowdalls (adowdalls@axveco.com)

Ondanks grote investeringen in het verbeteren van risicomanagement en interne beheersing na Enron (met initiatie COSO vanaf 2001) en later na de financiële crisis (2008), blijken de huidige raamwerken voor risicomanagement nog altijd kostbaar en bijzonder ineffectief in het tegenhouden van incidenten of het zorgdragen voor een integere en beheerste bedrijfsvoering. Nog altijd komen wantoestanden eerder aan het licht via klokkenluiders of door incidenten in plaats van dat deze door onze goedgevonden beheersstructuren worden voorkomen.

Bedrijven moeten meer digitaal en agile werken, met complexere producten en diensten, om de concurrentie het hoofd te kunnen bieden en de winstgevendheid op peil te houden. De noodzaak voor innovatie, verandering en flexibiliteit is hoog terwijl de inrichting van beheersstructuren stabiliteit en vaste controls als vertrekpunt nemen.

Wat is er aan de hand?

Waarom worden belangrijke functies zoals finance, controlling, risk en compliance eerder gepercipieerd als een last, een noodzakelijk kwaad of zelfs als een rem? Hoe zouden deze functies in staat kunnen zijn om enerzijds innovatie en transformatie te faciliteren en anderzijds te zorgen dat de bedrijfsvoering integer en beheerst blijft conform wettelijke vereisten en richtlijnen zoals de Corporate Governance Code?

In dit artikel geven wij een analyse vanuit onze praktijkervaring en een aantal handreikingen om dit probleem te adresseren

In control of In controls?

Wij kennen meerdere organisaties die letterlijk verzuipen in een groot aantal controls. In plaats van In Control te zijn, lijkt het meer op “in controls”. Een extreem voorbeeld is een organisatie met 1.850 key controls waarvan 80% handmatig. Dat is helaas geen uitzondering. Als risicomanagement discipline hebben wij teveel naar de harde control instrumenten (beleid, procedures, etc.) gegrepen in een poging om de beheersbaarheid te vergroten zonder erbij stil te staan of deze werkbaar of effectief zijn. De huidige control raamwerken waarop veel bedrijven hun interne beheersing baseren, zijn vaak weinig risico-gebaseerd en bevatten controls die bedacht zijn vanuit een jaren ‘50 gedachtengoed – namelijk dat van Administratieve Organisatie en Bestuurlijke Informatieverzorging. De basistraining van vele accountants en controllers.

Schijnzekerheid

De neiging naar harde controls wordt verder gestimuleerd door een rigide beleidsstructuur en komt voort uit een behoefte aan zekerheid: als we controls hebben gedefinieerd in lijn met ons beleid en deze zijn getest, dan zijn we in control.

Dit kunstmatige geloof in de maakbaarheid van beheersing is aandoenlijk, maar helaas vaak misplaatst. Meerdere organisaties hebben hun control raamwerk opgesteld vanuit een behoefte om alles controleerbaar te maken in plaats van gericht te zijn op key risks – dwz een control based benadering in plaats van een risk based benadering. Ze kunnen vaak nauwelijks aantonen dat de controls daadwerkelijk zijn gelinkt met key risks (als die überhaupt in kaart zijn gebracht). Vervolgens krijgt (senior) management aan het einde van het jaar het verzoek om een in-control verklaring te ondertekenen. “In control” over wat precies? In compliance met het beleid? En wat zegt dat over de continuïteit van de organisatie?

Wij werkten bijvoorbeeld met een asset manager die weinig tot geen controls had voor belangenverstrengeling terwijl dit een top drie risico was en inherent is in asset management – maar omdat er geen beleid hiervoor was werden er onvoldoende controls hiervoor ingericht. En daar had het ondernemende team van asset en portfolio managers weinig last van, totdat er een incident gerapporteerd werd door een klokkenluider.

Meer regels werkt averechts

Onderzoek toont daarnaast aan dat meer regels leidt tot een lager verantwoordelijkheidsgevoel en minder duidelijkheid. Dit leidt vervolgens tot minder betrokkenheid en een verminderd vermogen om kritisch na te denken.

Een ander voorbeeld – een bedrijf heeft 106 beleidsdocumenten in hun “policy house”. In elk beleidsdocument staan control doelstellingen en een lijst van vereiste controls (gemiddeld 10 per document). Het is niet realistisch om van een gemiddelde medewerker te verwachten dat zij zich bewust kunnen zijn van alle eisen vanuit deze set van beleidsdocumenten. Laat staan wanneer deze aan verandering onderhevig zijn. Het is zelfs een uitdaging voor risk of compliance officers om de integrale cohesie ervan te doorzien.

Hoe kan het anders?

Wij denken dat het tijd is om onze ideeën over risicomanagement en interne beheersing tegen het licht te houden van de moderne realiteit. Wij kunnen niet langer worden gezien als de rem op de organisatie. Een juiste balans tussen huis op orde en innovatie moet worden gevonden. Wij moeten ons eigen businessmodel opnieuw uitvinden om relevant te blijven. Drie kernelementen zijn hierbij volgens ons fundamenteel.

Verandering 1: De digital risicomanager

Business gaat digital en waar vroeger een proces bestond uit een klant, een service medewerker, een workflow en wellicht een order die in een systeem gezet werd, gaat dit nu anders. De klantbediening is vaak volledig online en geautomatiseerd: de klant gebruikt een app op zijn smartphone, op basis van big data geeft een robot een advies en veel stappen in de bedieningsketen worden gezet zonder menselijke tussenkomst.

In een digitaal proces worden zaken als software, ICT infrastructuur, datakwaliteit, informatiebeveiliging, privacy en change management de kern van de risicoanalyse. Het volstaat niet meer als risicomanager om geen ICT kennis te hebben, terwijl de business een verschuiving maakt van mens naar techniek. Voor een risicoanalyse van een digitaal bedrijfsproces voldoet een interview of workshop niet meer – reviews van technische componenten zijn onontbeerlijk. Control kan in business rules en systeemontwerp worden ingebouwd waardoor fouten of fraude moeilijker wordt.  De bekende vier ogen mogen een digitale bril opzetten!

Ook ter ondersteuning van innovatie heeft de business behoefte aan kennis en expertise over governance, risk en compliance aspecten van FinTech, Blockchain, data, Artifical Intelligence, etc. Beheersmaatregelen zullen voor een online en digitale omgeving moeten worden (her)ontworpen.

In vacatures voor risicomanagers wordt terecht steeds vaker gevraagd om ervaring met informatiebeveiliging, datamanagement en digitale bedrijfsvoering.

Verandering 2: Agile uitvoering van risk management

Een nieuwe manier van werken spoelt over de bedrijfswereld heen: agile of scrum, lean startup, en continu verbeteren. Snelle innovatie wordt meer een norm dan uitzondering. Door agile te werken kunnen bedrijven beter inspelen op veranderende behoeften van de stakeholders, waaronder klanten. Vanwege de onvoorspelbaarheid zijn lange termijn plannen niet meer toereikend. De nadruk komt te liggen op experimenteren, doen, leren en eventueel bijsturen. Juist deze kort cyclische aard van verandering staat op gespannen voet met de traditionele benadering van risicomanagement en interne beheersing.

Een risicomanager moet zijn inzichten inbrengen in een snel bewegende omgeving. Hij (of zij) moet vanaf het begin betrokken zijn bij een scrum team en de kaders en randvoorwaarden vanuit risk en compliance meegeven als ontwerpvereisten voor de zogenaamde ‘sprints’. Een scrum team wil niet wachten op de risicomanager.

Dit vereist een nieuwe benadering van riskmanagement – een “agile risicomanagement” die “risk based control” borgt in een dynamisch en veranderende omgeving. Deze kenmerkt zich door een grotere focus op soft controls, meer toegankelijke communicatie, principle based policies en een kleinere set van (dynamische) controls.

Verandering 3: Focus op begrip en bewustzijn in plaats van instrumenten

In een digitale en agile omgeving verandert het risicoprofiel van de onderneming – sommige risico’s kunnen door software worden voorkomen, maar tevens met software komen er nieuwe risico’s bij. Het is daardoor verleidelijk om diep de techniek in te duiken. We moeten ons echter bedenken dat ook in een digitale wereld de mens centraal blijft staan – software wordt immers ontworpen door mensen. Ook ten aanzien van cybercrime is de mens vaak de zwakste schakel gedreven door zijn risicobewustzijn en zijn verantwoordelijkheidsgevoel. Computers kunnen fouten maken maar verrichten geen fraude! We kunnen stellen dat de leverage factor van de mens toeneemt. Onze risicoraamwerken zouden hierop moeten aansluiten met een grotere focus op de persoonlijke verantwoordelijkheid van ieder mens in plaats van instrumentgericht.

Een simpel voorbeeld hiervan is het ondertekenen door managers van een goed opgesteld en juist verwoord In Control Statement. Dit nodigt een manager uit om te verklaren dat hij zijn omgeving kent, de risico’s in beeld heeft en hier bewust mee omgaat waardoor hij (of zij) in control is. Dit wil niet zeggen dat alle risico’s vermeden worden – juist niet! het bevordert een bewustzijn dat risico’s er mogen zijn en dat wij een keuze maken in hoeveel risico wij willen nemen. Dat blijft een besluit dat door de mens moet worden genomen en waarover verantwoording moet worden afgelegd.

Wij hebben ook ervaren dat managers een in control statement niet wilden ondertekenen – omdat zij er niet voor konden instaan. Dit is een succes. Nu hebben wij een manager die beseft wat In Control is ipv alleen maar een handtekening te zetten.

Hoe meer individuele managers de verantwoordelijkheid nemen en hun naam verbinden aan integer en beheerst ondernemerschap hoe beter! Stel de mens boven het instrument – vooral in een digitaal en agile omgeving.

Samenvatting – Risicomanager, ga met je tijd mee!

Onze risicomanagement discipline moet zich opnieuw uitvinden – zelf disruptie toepassen – om haar verantwoordelijk te nemen in een nieuwe wereld . Alleen dan zullen wij innovatieve en agile organisaties kunnen helpen om risicobewust te ondernemen. Dat is onze toekomst. Ben jij er al klaar voor? Wij helpen je graag!

In onderstaand tabel is een aantal verschillen tussen de huidige praktijk en de toekomst naast elkaar gezet