Dit artikel is in onderverdeeld in 2 posts. Deel II wordt binnenkort gepubliceerd op deze blog.
In de financiële sector staan governance, risicomanagement en compliance (GRC) hoog op de agenda. Daarbij kiezen steeds meer organisaties voor een geïntegreerde aanpak op basis van een Enterprise Risk Management Framework (ERM). Succesvolle implementatie van de wereldwijde standaard voor risicomanagement wordt steeds vaker gezien als onderscheidend vermogen ten opzichte van concurrenten. ERM dekt zowel risicomanagement als compliance-management af en heeft als voordeel dat er een duidelijke relatie is naar de strategie van de onderneming en naar de operationele processen. ERM raakt alle geledingen van een organisatie, van bestuurders en afdelingshoofden tot juridische zaken, audit en de eindgebruikers op de werkvloer. Om de activiteiten binnen alle disciplines en van alle betrokkenen op een juiste manier af te stemmen, is het raadzaam te werken aan een standaard aanpak met een uniforme methodologie, ondersteund door één repository. Op basis van de ervaringen en resultaten van verschillende internationale GRC-projecten gelden in dit verband de volgende best practices:
1. Maak een risico-raamwerk en kies daarbij voor een multidisciplinaire aanpak
In de eerste fase van ERM bepaalt de organisatie onder andere welke cultuur ze na wil streven en welk risico gedrag wel en niet getolereerd moet worden. De bedrijfsdoelstelling worden vastgesteld en daaraan gerelateerde risico’s. Een best practice is om al bij de eerste risico-inventarisaties afdelingshoofden te betrekken samen met andere disciplines zoals risicomanagement, compliance en interne controle. In een multidisciplinaire samenstelling brengt de organisatie de risico’s in kaart per procescluster. Daarbij is het raadzaam primair uit te gaan van de potentiële risico’s en niet van de bestaande processen met bestaande procescontroles. Zo is te voorkomen dat de organisatie risico’s over het hoofd ziet en stimuleert zij het ‘out of the box’-denken bij medewerkers. Bovendien zijn controles die nauwelijks nog toegevoegde waarde hebben, naderhand uit het proces te verwijderen. Nog al te vaak worden risico’s geïsoleerd gedefinieerd in Excel-sheets en komt een organisatie er vervolgens achter dat de praktijk van bijvoorbeeld audit, compliance of juristen anders is. Dat is met een holistische aanpak te vermijden. Dat heeft niet alleen het voordeel dat dit proces effectiever en efficiënter verloopt, maar ook dat de bewustwording rond risico’s toeneemt. Bovendien zijn risico’s zo beter met elkaar te verbinden en de onderlinge relaties vast te stellen. Die integrale benadering zorgt voor een helder totaalbeeld van risico’s die de organisatie loopt. Het raamwerk kan tevens als referentie dienen en kan centraal worden beheerst en aangepast op basis van bevindingen in de organisatie.
2. Zet risicobeheersing af tegen procesprestaties
Risico’s bieden ook mogelijkheden en inzicht (in de gevolgen)om de bedrijfsprestaties te verbeteren ten opzichte van concurrentie. Bedrijven die erin slagen om hun risico’s om te vormen in resultaten, zorgen voor meer concurrentievermogen, betere beslissingtrajecten en minder blootstelling aan negatieve ontwikkelingen. Een best practice is om per proces zowel de prestaties van risicobeheersing vast te leggen als van de procesprestaties. Op die manier kan beter afgewogen worden of het risico dat wordt gereduceerd door controlemaatregelen opweegt tegen de kosten en eventuele nadelige consequenties zoals bijvoorbeeld een langere doorlooptijd van het proces. De baten van de te verwachten risicoreductie zijn af te zetten tegen de lasten van de invoering. Hiervoor is wel een eenduidige processtructuur nodig en een koppeling tussen de vastgestelde risico’s, controlemaatregelen en processen met hun procesindicatoren. Ook de uitkomst van de risico-assessments en de procesindicatoren dienen samen te komen in een verslaglegging.
3. Creëer een gemeenschappelijk taal en methodologie voor risico’s, controle en prestaties
Zonder een gemeenschappelijke taal of methodologie kunnen professionals uit verschillende bedrijfsonderdelen moeizaam met elkaar communiceren. Het is niet zomaar dat steeds vaker in wetgeving, zoals Solvency II voor verzekeraars, verplicht wordt gesteld dat verschillende disciplines regelmatig overleg met elkaar hebben en de resultaten vastgelegd moeten worden. Als ze geen gemeenschappelijke taal en methode hanteren, dan leidt het ertoe dat verschillende risico’s verschillende malen door verschillende bedrijfsonderdelen worden beoordeeld. Dat geldt ook voor het auditen. Dit is een inefficiënte werkwijze. Door een gemeenschappelijke en geïntegreerde aanpak zijn verschillende voordelen te behalen:
- verbeterde rapportage organisatie-breed door een bronsysteem te gebruiken;
- consistent afdekken van alle risico’s;
- betere prestaties doordat risico’s aangeven waar prestaties achterblijven;
- betere beslissingtrajecten op basis van risicobeoordeling;
- minder externe controle en audit en meer gestandaardiseerde controlemechanismen.