PROCESGEDREVEN GRC-AANPAK EFFECTIEVER

Transcriptie

1 Organisatie en processen Risicomanagement PROCESGEDREVEN GRC-AANPAK EFFECTIEVER In veel organisaties is er geen direct verband tussen de strategie en de governance, risk en compliance. Vaak zijn performance management, riskmanagement, compliance en audit ondergebracht in aparte silo s. Weinig effectief, aldus de auteur. Een geïntegreerde aanpak van deze onderdelen is veel effectiever. Bedrijven bereiken betere resultaten door te focussen op een bindende factor: het bereiken van business process excellence. DOOR SVEN ROELEVEN Een procesgedreven governance, risk en compliance (GRC-)aanpak is gericht op het creëren van synergie tussen performance management, riskmanagement en compliance management. Een groot aantal rollen binnen het bedrijf is betrokken bij GRC: directeuren van businessunits, riskmanagers, proceseigenaren, medewerkers interne controle, interne en externe auditors en de afdeling Legal. Door al deze rollen De siloaanpak heeft directe invloed op het dagelijkse werk van de riskmanager samen te brengen binnen een gemeenschappelijk enterprise risk management (ERM-)raamwerk en een gemeenschappelijke taal in te voeren, is het mogelijk een single point of truth voor alle betrokken partijen te creëren. Sleutelrol business process excellence Om de sleutelrol van business process excellence beter te begrijpen, is het nuttig om eerst te kijken hoe compliance, risk en performance management zich verhouden tot elkaar. Met performance management identificeert een bedrijf de belangrijkste kritische succesfactoren en -indicatoren. Het is dan mogelijk om de bedrijfsprocessen te meten op de prestatie- indicatoren, om zo de processen te verbeteren. Door de inzet van procesperformance management zijn kwaliteit (zoals inconsistenties of uitval), productiviteit en efficiency te vergroten. Dat is allereerst mogelijk doordat het werkelijk uitgevoerde proces inzichtelijk wordt gemaakt (statistisch en visueel). Daarnaast is het makkelijker om knelpunten te analyseren, een verbeterd proces te (her)ontwerpen en simuleren en om de procesverbeteringen continu te monitoren. Riskmanagement is gericht op het identificeren en beoordelen van risico s op waarschijnlijkheid en financiële impact. Risico s zijn af te leiden uit gebeurtenissen en te meten op basis van risico-indicatoren. Compliance management omvat globaal drie stappen: ~ het vaststellen van de scope van de compliance (welke regelgeving, wetten en standaarden zijn van toepassing?); ~ het analyseren en interpreteren van regels en deze vertalen naar specifieke controledoelen zodat compliance gewaarborgd is; ~ het inbouwen van de controles in de bedrijfsprocessen. Door deze drie stappen te volgen, is het eenvoudiger om anderen, inclusief externe auditors, uit te leggen welke regels van invloed zijn op de organisatie, hoe de organisatie de regels moet interpreteren en welke controlemechanismen in gebruik zijn om compliance te waarborgen. Door de 36 FEBRUARI 2013

2 Intern gedreven Procesgedreven GRC met convergerende onderwerpen Performance management Efficiency, QA, klanttevredenheid COO, CEO Riskmanagement Business continuity, voorkom schandalen CRO, CFO Compliance management Certificering, integriteit CCO, CFO Extern gedreven Proces organisatie Methodologie Tooling Governance Figuur 1 Overzicht koppeling bedrijfsprestaties Vaak is meer dan één beheersmaatregel nodig om een risico te mitigeren controlemechanismen regelmatig te auditen en te testen is compliance te allen tijde aan te tonen. De ingebouwde controlemechanismen zorgen ervoor dat bedrijfsprocessen beter presteren en risico s kleiner worden. Controlemechanismen kunnen ook worden ingezet om verschillende wet- en regelgeving ineens af te dekken. Allemaal vastgelegd in processen op weg naar operational excellence. Integreren GRC Veel organisaties opereren nog in silo s, zonder een geïntegreerd GRC-systeem dat is afgestemd op de corporate strategie en doelen. Dit vormt een probleem voor het topmanagement van een onderneming dat zoekt naar een GRC-strategie die gelijkloopt met de corporate doelen. Ook heeft de siloaanpak directe invloed op het dagelijkse werk van de riskmanager. Deze beroepsgroep heeft te maken met veel verschillende risico s, zoals financiële, strategische, operationele, juridische en compliancegerelateerde. Om al deze risico s te kunnen afdekken, is brede domeinkennis nodig en een geïntegreerde risicobenadering. Daarom is het van belang de risicosilo s af te breken en te vervangen door één methodologie voor alle bedrijfsprocessen (zie figuur 2). Zonder deze geïntegreerde benadering hebben businessmanagers vaak veel moeite om risico-informatie te vinden en te onderhouden Deze informatie is in de regel opgeslagen in Excel- of Word-bestanden. De kans is groot dat content gedateerd is. Dat betekent dat er geen duidelijkheid is over de vraag of alle risico s adequaat afgedekt zijn. Met een holistische benadering van alle corporate risico s is dat te voorkomen. Zowel procesmanagers, riskmanagers als compliance managers en audit managers verwijzen naar dezelfde eenduidige processen, risico s en controles en profiteren daarvan. Risk governance: lessons learned Benoem een Chief Risk Officer Aangezien een hoofd Risicomanagement normaal gesproken niet direct aan de CEO rapporteert, staan risico-issues niet altijd op het netvlies van de bedrijfstop. Dit probleem verergert wanneer verschillende risicoafdelingen aan verschillende FEBRUARI

3 Definieer strategie (balanced score card) Strategiedoelstellingen (doelstellingendiagram) Identificeer risico s die doelbereik voorkomen Identificeer proces(sen) waar de risico s voorkomen Figuur 2 Geïntegreerde benadering van bedrijfsprocessen managers rapporteren, die op hun beurt aan de CEO verantwoording afleggen. Op deze manier heeft het risicomanagement geen sterke positie binnen de organisatie. De kans neemt toe dat bepaalde issues geen aandacht krijgen. Dit is te voorkomen door een Chief Risk Officer (CRO) te benoemen, die direct rapporteert aan de CEO. Het is eventueel ook mogelijk om de CRO te laten rapporteren aan de CFO die verantwoordelijk is voor riskmanagement en business process management (BPM). Door deze twee disciplines bij één persoon te beleggen, zijn de integratie van processen en risico s en eenduidige vastlegging hiervan beter in de hand te houden. De organisatie met al haar disciplines kan dan adequater reageren op issues, onvolkomenheden in bedrijfsprocessen of veranderende regelgeving. De ultieme manier om excellente processen te ontwerpen. Creëer een risicocultuur Veel organisaties zien weinig in het creëren van een risicocultuur. Niettemin kan een juiste aanpak hiervan een organisatie maken of breken. Ook afspraken over welk risicogedrag wel en niet getolereerd wordt en welke bonusstructuur gehanteerd Het gaat er in een concurrerende markt vooral om wie zich het snelst kan aanpassen dient te worden, zijn hier onderdeel van. Zonder een dergelijke cultuur raken risico-assessments gemakkelijk uit het zicht. Wanneer medewerkers gevoelig zijn voor het herkennen van risico s en deze betrekken in hun dagelijkse werk is er sprake van de juiste risicocultuur. Het is in dit verband van belang dat risicomanagers medewerkers continu trainen en met hen communiceren over de risico s. Bepaal een risicomanagementstrategie Om te bepalen welke gebeurtenissen een organisatie afhouden van het bereiken van de doelstellingen is het allereerst nodig om de bedrijfsdoelen nauwkeurig vast te stellen. Het is niet genoeg om alleen een missie, visie en strategische doelen vast te stellen. Het is noodzakelijk om deze ook te specificeren. Daarbij is het zaak om per kritische succesfactor te bepalen hoe deze met behulp van prestatie-indicatoren meetbaar zijn in de processen. Het is ook mogelijk om hierbij gebruik te maken van een balanced scorecard voor het vaststellen en visualiseren van strategische doelen vanuit verschillende perspectieven, zoals de klant of financiën. Met moderne modeleringssoftware zijn diagrammen te maken die strategische doelen concreet maken. Kritische succesfactoren en subdoelen zijn te definiëren en te koppelen aan de bedrijfsprocessen die het behalen van een specifiek doel ondersteunen. Door deze aanpak is het mogelijk een formele risicostrategie te creëren. Die zorgt voor het noodzakelijke kompas, dat tot nu toe bij veel bedrijven ontbreekt. Risico vaststellen, beoordelen, analyseren Hoe ziet risicomanagement er in de praktijk uit? Het gaat grofweg om drie stappen: ~ het identificeren van de risico s; ~ het beoordelen van de risico s; ~ het analyseren van de risico s en het bepalen van het juiste antwoord. Begin met de corporate doelen en de gerelateerde procescontext. Bepaal ook de gebeurtenissen die van invloed kunnen zijn op de doelen. Gebeurtenissen met een positieve impact zijn te benoemen als kansen en horen een plaats te krijgen in het proces van het bepalen van doelen. Gebeurtenissen met een potentieel negatief effect zijn te bestempelen als risico s. Cluster de risico s in categorieën om er zeker van te zijn dat alle informatie over de gebeurtenissen bekend is. Met een procesgedreven GRC-benadering is het voor alle risicomanagers gemakkelijk om onderling contact te houden. Zij kunnen taken op het gebied van risicomanagement toewijzen 38 FEBRUARI 2013

4 Statistieken voor risico assessment per risicocategorie UMGEN Catastrofisch 3 12 Hoog Ernst van de schade Gemiddeld Overtreding vier-ogenprincipe data-invoer Laag Onbelangrijk Zeer laag Laag Gemiddeld Hoog Zeer hoog Voorvalfrequentie 1 Overtreding vier-ogenprincipe registreren betaling 3 Verkeerd kredietbeleid 5 Overtreding vier-ogenprincipe invoer kredietdata 7 Risico van brand 9 Overtreding van scheiding van taken kredietgoedkeuring 11 Systeem falen proces 13 Risico op beroving 2 Overtreding vier-ogenprincipe data-invoer 4 Incorrecte betaaldata 6 Incorrecte balansopmaak 8 Negeren van autoriteit 10 Incorrecte kredietdata 12 Overtreding vier-ogenprincipe autorisatie betaling 14 Overtreding scheiding van taken data-invoer Figuur 3 Het in kaart brengen van risico s in risicocategorieën De risicowaarden zijn kwalitatief en kwantitatief te scoren en de afronding van taken monitoren. Door taken aan procesmanagers toe te wijzen, zijn ze te linken aan bedrijfsprocessen. Als er geen zekerheid is of alle risico s afgedekt zijn, is het mogelijk een vragenlijst uit te sturen naar alle proceseigenaren met de vraag of zij nog potentiële risico s missen. Op deze manier is de hele organisatie bij dit proces te betrekken, ook de medewerkers zonder risicomanagementtraining. De volgende stap is het identificeren van de risico s op basis van hun impact, de kans dat ze zich echt voordoen en de effectiviteit van de controlemechanismen. Voor iedere dimensie is een standaardscoreniveau te bepalen dat bedrijfsbreed geldt. De risicowaarden zijn kwalitatief te scoren (bijvoorbeeld in categorieën als laag, medium en hoog, zie figuur 3) en kwantitatief in percentages of in financiële data. Wijzigingen in de score zijn over bepaalde periodes te analyseren. Het is belangrijk om overeenstemming te bereiken over de richtlijnen voor het consistent uitvoeren van deze assessments. Alleen dan zijn de verkregen data goed te vergelijken. Deze gegevens zijn voor risicomanagers en leidinggevenden van belang om beter inzicht te krijgen in strategie en prioriteiten. Wanneer een organisatie hier een gemeenschappelijke taal en een gemeenschappelijk platform inzet, is het eenvoudiger om risico s te identificeren, beoordelen en mitigeren. Procesgedreven GRC als business enabler Op het moment dat alle risico s in kaart zijn gebracht, is het FEBRUARI

5 Hoog Kans op risico Figuur 4 Antwoordenkwadrant Reduceren Accepteren Voorkomen Delen Laag Financiële impact Hoog tijd voor een analyse van de trends met behulp van risicotrendanalyses. Daarmee is uiteindelijk te bepalen of een investering in risicoresponse loont. Een eis vooraf is dat alle resultaten van de risicobeoordeling, de resultaten van de testen van de controlemechanismen en de procesresultaten zijn vastgelegd in een repository. Dat maakt beslissingen over risicoresponse veel eenvoudiger. Op basis van de output van de risk assessment zijn verschillende antwoorden mogelijk voor wat betreft het beoordeelde risico. De risico s zijn te voorkomen, accepteren, reduceren of delen. Het is meestal het lijnmanagement, dat samen met de businessrisicomanager, bepaalt welk antwoord wordt gekozen. Het antwoord kan ook zijn om een aantal maatregelen te combineren. Het antwoordenkwadrant kan hierbij behulpzaam zijn (zie figuur 4). Vier mogelijke risicoresponses zijn: ~ reduceren van risico: door bijvoorbeeld het implementeren van een beheersmaatregel; ~ delen van risico s: door het sluiten van een verzekering; ~ accepteren van het risico: een reden van accepteren kan zijn dat de kosten van het voorkomen van het risico hoger zijn dan de impact ervan; ~ voorkomen van risico s: bijvoorbeeld door het verkopen van een risicovolle businessunit of het stopzetten van een risicovol proces. Samenvatting Om effectief risicomanagement te realiseren gaat het er voornamelijk om de bedrijfsdoelstellingen niet uit het oog te verliezen. Anders riskeert een organisatie out of business te raken. Performance management kan daarbij helpen, zodat er continu inzicht is in de werkelijk uitgevoerde processen en hun procesprestaties. Risicomanagement mag niet los gezien worden van de processen. De risico s zijn immers geidentificeerd in de eigen bedrijfsprocessen en de risicostrategie dient bij te dragen aan het behalen van de doelen. De risico s kunnen worden gereduceerd op vier verschillende manieren, waaronder reductie door beheersmaatregelen, terwijl de beheersmaatregelen ook interpretaties kunnen zijn van bepaalde wet- en regelgeving. Het implementeren van een beheersmaatregel die verschillende regelgeving afdekt en verschillende risico s reduceert is erg efficiënt. Of het nu om doelen, risico s, processen of controlemaatregelen gaat, ze dienen allemaal eenduidig vastgelegd te worden binnen een uniforme methodiek. Dat biedt een gemeenschappelijk kader voor verschillende belanghebbenden en maakt het mogelijk om als organisatie snel te kunnen reageren en veranderen. Ten slotte gaat het er in een concurrerende markt vooral om wie zich het snelst kan aanpassen. Daarbij gaat het om het aanpassen aan continu veranderende wetgeving, of aan tegenvallende procesprestaties of aan plotselinge bedrijfsrisico s. De eenduidige vastlegging en transparantie van procesgedreven GRC kan daarbij een onderscheidend vermogen zijn en biedt organisaties een kans om de beste te worden. Sven Roeleven, Vice President Consulting Benelux Nordics bij Software AG. Na deze keuzes is actie nodig in de vorm van het implementeren van een beheersmaatregel die inspeelt op een van deze keuzen. Vaak is meer dan een beheersmaatregel nodig om een risico te mitigeren. Het is van belang te bepalen of de kosten van de maatregel opwegen tegen de effecten van het risico zelf. Ook is het nodig vast te stellen hoe vaak en op welke wijze een controlemaatregel getest wordt. Om te voorkomen dat risicomanagers verdrinken in maatregelen is het raadzaam scherp te kijken naar die gebieden waar de impact klein is en waar maatregelen te consolideren zijn. De praktijk wijst uit dat op die manier wel een derde van de benodigde tijd voor het beoordelen, mitigeren en monitoren van risicoactiviteiten te besparen is. 40 FEBRUARI 2013