integrale benadering van riskmanagement

Transcriptie

1 Organisatie en processen integrale benadering van riskmanagement en procesbeheersing De druk op finance & control-afdelingen is tegenwoordig hoog. Er moet steeds meer gebeuren en de middelen zijn vaak beperkt. Om een en ander toch mogelijk te maken, starten organisaties steeds vaker projecten waarin procesbeheersing en riskmanagement een rol spelen. Terwijl deze thema s vaak hetzelfde doel hebben een goed presterende organisatie, worden ze meestal niet bedrijfsbreed en integraal benaderd. De auteur introduceert daarom een stappenplan dat finance & control-managers kunnen gebruiken om invulling te geven aan die integratie. DOOR SJOERD-JAAP WESTRA Ten eerste eist de eigen organisatie vaak dat de financiële afdeling betrouwbare stuurinformatie steeds sneller aanlevert. Ten tweede eisen de externe accountant en eventuele toezichthouders in toenemende mate beheersmaatregelen ter onderbouwing van de juistheid en volledigheid van financiële rapportages. In het bijzonder geldt dit voor beursgenoteerde ondernemingen wanneer ze moeten voldoen aan corporate governancecodes (Sarbanes-Oxley Act (SOx), code Tabaksblat) en rapportagestandaarden (IFRS). Ten derde hebben financiële afdelingen vaak te maken met diverse veranderingsprocessen en projecten elders in de organisatie. De financieel-administratieve aspecten krijgen bij dergelijke veranderingen niet altijd of misschien zelfs meestal niet de hoogste prioriteit. Met als gevolg dat de financiële afdeling achteraf extra energie moet steken in het controleren en eventueel corrigeren van financiële gegevens. Om aan de genoemde verplichtingen te voldoen, starten veel organisaties diverse initiatieven. Thema s die in dergelijke projecten meestal een prominente rol spelen zijn procesbeheersing en riskmanagement. Helaas constateer ik regelmatig dat deze thema s afzonderlijk van elkaar behandeld worden. Dit komt waarschijnlijk omdat de motieven veelal door verschillende stakeholders ingebracht zijn. De eigen organisatie heeft vaak een focus op versnelling of stroomlijning van processen; externe stakeholders hebben vaak meer aandacht voor beheersing van risico s. Een andere reden is waarschijnlijk dat ook in de organisatie de verantwoordelijkheid voor het optimaal presteren en de verantwoordelijkheid voor het beoordelen van risico s vaak gescheiden zijn. Dit terwijl procesbeheersing en riskmanagement feitelijk hetzelfde doel nastreven: een goed presterende organisatie, waarin zo min mogelijk misgaat. In dit artikel pleit ik voor een integrale en bedrijfsbrede aanpak van procesbeheersing en riskmanagement. Ook vraag ik D E C E M B E R W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L

2 aandacht voor het feit dat IT hierbij een belangrijke enabler kan zijn. Ik besluit dit artikel met een globaal stappenplan dat kan dienen om vanuit de finance & control-functie invulling te geven aan deze aanpak. De situatie Het begin van dit millennium stond in het teken van de boekhoudschandalen. In de jaren daarna stonden de corporate governancecodes (o.a. code Tabaksblat en SOx) en de rapportagestandaarden (IFRS) centraal. Vandaag de dag staat de praktische invulling van corporategovernanceregels in het middelpunt van de belangstelling. In het kielzog van beursgenoteerde ondernemingen en aangejaagd door de invloed van externe accountants willen vandaag de dag ook organisaties zonder een beursnotering in control zijn. Voorbeelden van uitspraken die illustratief zijn voor deze trend zijn: ~ Wij rapporteren nu op de zevende werkdag en willen dit versnellen naar de vijfde werkdag. Maar dat mag uiteraard niet ten koste gaan van de kwaliteit. ~ Om verantwoording te kunnen afleggen aan diverse stakeholders en om te laten zien dat we de zaken op orde hebben, willen wij het riskmanagementproces formaliseren. Kortom: niet alleen externe stakeholders dwingen organisaties om in control te zijn; ook de eigen organisatie is gebaat bij juiste en tijdig verstrekte informatie. Hierdoor kunnen de doelstellingen, de strategie en/of de operationele plannen tijdig en adequaat bijgesteld worden. De keuze Door de genoemde ontwikkelingen en verplichtingen neemt enerzijds de druk op financiële afdelingen toe, omdat er vaak extra activiteiten uitgevoerd moeten worden. Anderzijds dienen verbeterprojecten opgestart te worden om nu en in de toekomst op een effectieve en efficiënte manier te voldoen aan de verplichtingen. Voor dergelijke projecten zijn mensen en middelen nodig, en die zijn vaak niet beschikbaar. De te maken keuze lijkt: 1) doorgaan op de oude weg en wachten tot het noodlot toeslaat, of: 2) door een eenmalige inspanning structureel verbeteringen doorvoeren in de procesbeheersing en het riskmanagement en daardoor voorbereid zijn op de toekomst en de eisen van zowel externe toezichthouders als de eigen organisatie. Gegeven de verantwoordelijkheden van de financiële afdeling lijkt de tweede optie wel de meest voor de hand liggende. Procesbeheersing en riskmanagement: integraal en bedrijfsbreed Van oudsher ligt de verantwoordelijkheid voor procesbeheersing vaak decentraal bij de functionele afdelingen, terwijl de verantwoordelijkheid voor riskmanagement (en internal control) vaak ligt bij een selecte groep medewerkers van de finance & control-afdeling of interne auditafdeling. Meer en meer groeit het besef dat riskmanagement in een ideale wereld is verweven met en ingebed in de uitvoering van processen. Vooralsnog is dit voor de meeste organisaties een utopie en daar zullen riskmanagement en het beoordelen van internal controls een dedicated verantwoordelijkheid zijn. Een mogelijke redenering is de volgende: het afsluiting-, consolidatie- en rapportageproces levert een financiële samenvatting van alle organisatieprocessen. Als een organisatie in de financiële verslaggeving een juist, volledig en actueel beeld van de volledige organisatie wil verschaffen, dan is het wenselijk dat alle processen beheerst verlopen en de administratie daarvan juist, volledig en tijdig is. Ook is het van belang om te weten wat er in de organisatie fout kan gaan en daarvoor maatregelen te treffen. Aangezien de finance & control-afdeling verantwoordelijk is voor het uiteindelijke resultaat (de financiële verslaggeving), zou ik finance & control-managers willen adviseren om ervoor te zorgen dat zowel procesbeheersing als riskmanagement bedrijfsbreed worden ingevoerd en procesbeheersing en riskmanagement integraal te benaderen. Anders gezegd: riskmanagement gaat over processen (bijvoorbeeld wat kan er misgaan in de organisatieprocessen?), maar het is zelf ook een proces (bijvoorbeeld het analyseren van risico s en het implementeren en beoordelen van beheersmaatregelen). Figuur 1 illustreert de relatie tussen procesbeheersing en riskmanagement. Finance & control Figuur 1 Rapportage Consolidatie Closing Strategieplanning Planning Budgeting Forecasting Financiële administratie Primaire processen HR-processen IT-processen Riskmanagement Procesbeheersing en riskmanagement: bedrijfsbrede benadering De figuur laat ook duidelijk zien dat riskmanagement een organisatiebrede aanpak vraagt en betrekking heeft op alle organisatieprocessen. Procesbeheersing De finance & control-functie is van oudsher verantwoordelijk voor de juistheid en volledigheid van de financiële verslag- 2 8 D E C E M B E R

3 geving. De rol van de externe accountant is in dit verband een controlerende. Accountants richten zich hiervoor veelal op aansluitingscontroles rondom rapportages en transactionele systemen en applicatiecontrols en computermaatregelen van de kritische applicaties. Kortom: de focus ligt veelal op de transactionele processen en de ondersteunende systemen. De achterliggende gedachte is: als de processen goed functioneren en de interne controlemaatregelen rondom het proces effectief zijn, dan zijn de gegevens met voldoende mate van zekerheid van voldoende kwaliteit. Als de accountant vervolgens controleert op welke wijze de gegevens terechtkomen in de financiële verslaggeving, dan is de kwaliteit van de verslaggeving met voldoende mate van zekerheid van voldoende kwaliteit. Vandaag de dag willen ook organisaties zonder een beursnotering in control zijn Echter, deze redenering is niet langer voldoende. Organisaties dienen tegenwoordig zelf een in-controlverklaring af te geven over de processen die transactionele gegevens omzetten in financiële verslaggeving. Kortom: een verklaring over de interne beheersing van closing-, consolidatie- en rapportageprocessen in aanvulling op de beheersing van operationele en transactionele processen. Samenvattend: om de betrouwbaarheid van de financiële verslaggeving te onderbouwen zou een in-controlverklaring tegenwoordig dus betrekking moeten hebben op: ~ de beheersing van operationele processen; ~ de beheersing van de financieel-administratieve processen; ~ de beheersing van algemene IT-processen; ~ de beheersing van de closing-, consolidatie- en verslaggevingsprocessen. Veelal worden operationele processen en financieel administratieve processen (geïntegreerd) ondersteund door ITsystemen. Voor het onderbouwen van de in-controlverklaring wordt gekeken naar de opzet, het bestaan en de werking van functiescheiding, gebruikerscontroles, algemene computermaatregelen en applicatiecontrols (van de procesondersteunende applicaties). Voor de closing-, consolidatie- en verslaggevingprocessen is dit vaak lastiger. Veelal vinden de aansturing, uitvoering en bewaking van dergelijke processen plaats met behulp van gefragmenteerde spreadsheets en rapportagetools, per en tijdens vergaderingen. Het is, met het oog op de kwaliteitsaspecten efficiency, effectiviteit en betrouwbaarheid, zinvol om ook voor deze processen een IT-oplossing te implementeren waarmee de activiteiten kunnen worden gepland, aangestuurd, bewaakt en gecontroleerd. Riskmanagement Populair gezegd houdt riskmanagement zich bezig met: 1) het vaststellen wat er mis kan gaan in de organisatie; 2) het verkleinen van de kans dat er dingen misgaan; en 3) het minimaliseren van de impact als dingen toch misgaan. Een veel gehanteerde indeling van risicogebieden is: strategische risico s, operationele risico s, wetgevingsrisico s en financialreportingrisico s. Vanuit de finance & control-afdeling en in de context van de huidige governancecodes verdienen financialreportingrisico s in het bijzonder aandacht. Zowel in de dagelijkse gegevensregistratie bij de bron (de operationele processen en financiële administratie) als in de periodieke closing-, consolidatie- en verslaggevingprocessen kan van alles misgaan. De closing-, consolidatie- en verslaggevingprocessen resulteren uiteindelijk in een financieel verslag dat een waarheidsgetrouwe weergave moet zijn van de operationele processen (feitelijk alle processen) van de rapportageperiode. Dit betekent kort door de bocht dat voor financial-reporting riskmanagement een bedrijfsbrede insteek noodzakelijk is. Anders gezegd: alle processen die impact hebben op de juistheid, volledigheid en tijdigheid van de financiële rapportage dienen binnen het onderzoeksdomein van riskmanagement te vallen. Een dergelijke benadering vraagt tevens om een procesmatige benadering van riskmanagement zelf. Oftewel: riskmanagement als proces. Een effectieve aansturing, uitvoering, monitoring en controle van de closing-, consolidatie- en verslaggevingprocessen zijn belangrijk voor een betrouwbare financiële verslaggeving en noodzakelijk voor het onderbouwen van een in-controlverklaring. Uitsluitend schriftelijk documenteren van de procesgang of het vastleggen van een draaiboek (closing calendar) en hopen dat het proces conform opzet wordt uitgevoerd, zijn niet langer voldoende. De finance & control-afdeling zal het proces moeten sturen en moeten waarborgen dat de taken in de juiste volgorde worden uitgevoerd en achteraf moeten aantonen op welke wijze het proces daadwerkelijk is uitgevoerd (wie, wat en wanneer). Een IT-systeem waarin het closing-, consolidatie- en verslaggevingsproces is vastgelegd, werkinstructies (accounting manual) zijn gekoppeld en een audit trail wordt opgebouwd, kunnen om deze redenen een wezenlijke bijdrage leveren aan een betere beheersing van dit proces. Bovendien kunnen ze waarborgen dat het proces transparant D E C E M B E R W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L

4 verloopt zodat de riskmanagementfunctie risicoanalyses beter kan uitvoeren en beheersmaatregelen effectiever kan implementeren. Een effectieve invulling van riskmanagement met name riskmanagement rondom financial reporting vraagt om een bedrijfsbrede benadering. Een wezenlijk onderdeel binnen riskmanagement is het inventariseren van risico s binnen alle processen die mogelijk impact hebben op de financiële verslaggeving. In theorie zijn dit alle organisatieprocessen. Een web-enabled IT-systeem voor het documenteren van alle relevante processen, risicoanalyses, vereiste beheersmaatregelen en aanwezige beheersmaatregelen kan een wezenlijke bijdrage leveren aan het bedrijfsbreed invoeren van en rapporteren over riskmanagement. Bovendien biedt het de mogelijkheid om op een procesmatige wijze invulling te geven aan riskmanagement. Met andere woorden: ervoor zorgen dat alle verantwoordelijke medewerkers in de juiste volgorde en op de juiste wijze de taken uitvoeren die ze moeten uitvoeren in het kader van riskmanagement. Bijvoorbeeld: ~ vaststellen over welke objecten verantwoording afgelegd dient te worden (in het kader van financial reporting zijn dit bijvoorbeeld de significant accounts); ~ vaststellen van risicovolle processen; ~ uitvoeren van risicoanalyses; ~ vaststellen van de vereiste beheersmaatregelen en het beoordelen van de aanwezige beheersmaatregelen; ~ implementeren van verbeteringen als de effectiviteit van de beheersmaatregelen onvoldoende is. De verwachting is zoals eerder genoemd dat de hiervoor genoemde activiteiten in het kader van riskmanagement deel gaan uitmaken van de dagelijkse routineprocessen. Wanneer er bedrijfsbreed diverse medewerkers bij betrokken zijn, zal vastlegging in spreadsheets en losse documenten onvoldoende blijken te zijn. Dat pleit ervoor om nu alvast een bedrijfsbreed web-enabled IT-systeem in te voeren waarmee alle betrokken medewerkers gegevens kunnen vastleggen en raadplegen. IT is in het kader van riskmanagement dan niet uitsluitend een object van audit meer, maar tevens de enabler van riskmanagement en auditprocessen. Wanneer organisaties zowel de risicovolle processen (waaronder closing, consolidatie en verslaggeving) als de riskmanagementprocessen beheersen met daarvoor ontwikkelde IT-systemen, kan er een extra synergievoordeel ontstaan. Wanneer zich in het procesbeheersingsysteem risicovolle gebeurtenissen voordoen, kan dit leiden tot een alert in het riskmanagementsysteem. Dit kan vervolgens worden opgevolgd door een riskmanagementproces in het procesbeheersingsysteem. Figuur 2 maakt het synergie-effect tussen procesbeheersing en riskmanagement duidelijk. Stappenplan Het bedrijfsbreed en integraal invoeren van procesbeheersing en riskmanagement is voor veel organisaties niet eenvoudig. Een gefaseerde aanpak met beheersbare deelfasen verdient veelal de voorkeur. Het stappenplan in figuur 3 geeft een voorbeeld van een dergelijke gefaseerde aanpak. Procesbeheersing Plannen, aansturen, monitoren en controleren Risk management Documenteren, analyseren, beoordelen en verbeteren Closing, consolidatie, verslaggevingsproces Risicovolle gebeurtenis Opstarten riskmanagementproces Riskmanagementproces Figuur 2 Procesbeheersing en riskmanagement: integrale benadering 3 0 D E C E M B E R

5 Documenteer closing- en reportingproces Documenteer functionele criteria procesbeheersing Figuur 3 Formeer projectteam Documenteer risicogebieden en risicovolle processen Documenteer functionele criteria riskmanagement Combineer en documenteer functionele criteria procesbeheersing en riskmanagement ~ Selecteer IT-systeem voor procesbeheersing én riskmanagement of ~ Selecteer IT-systeem voor procesbeheersing en selecteer IT-systeem voor riskmanagement Implementeer riskmanagement en documenteer de meest risicovolle processen Implementeer procesbeheersing voor closing en reporten en overige meest risicovolle processen Gefaseerde aanpak voor procesbeheersing en riskmanagement met Aandachtspunten bij de selectie van een informatiesysteem Bij de selectie van een informatiesysteem voor het beheersen van de afsluitingprocessen is het zinvol rekening te houden met de volgende aspecten. ~ Stel zowel de organisatorische procesactiviteiten als de transactionele werkzaamheden centraal bij het plannen, aansturen en monitoren van het closing- en reportingproces. Het gaat bij het plannen, aansturen en monitoren van de closing- en reportingprocessen niet uitsluitend om transactionele werkzaamheden in een specifieke applicatie; ook de organisatorische stappen en afhankelijkheden zijn relevant voor een betrouwbaar proces. ~ Een gebruikersvriendelijke user interface en eenvoudige navigatiemogelijkheden zijn belangrijk voor acceptatie door de gebruikersorganisatie. Medewerkers beschouwen informatiesystemen voor procesbeheersing soms als vrijheid beperkend. Indien het informatiesysteem uitsluitend waarde toevoegt voor het management en niet voor de gebruikersorganisatie, dan is de acceptatiegraad waarschijnlijk laag. ~ Een eenvoudige modelleeromgeving is belangrijk voor een snelle en eenduidige invoering door de gebruikersorganisatie. Vaak verzandt een project van de gebruikersorganisatie in een langdurig IT-traject als gevolg van complexe modelleringseisen. ~ Het informatiesysteem dient samenwerking tussen medewerkers te bevorderen door middel van eenvoudige en laagdrempelige werkinstructies en alerts. Bijvoorbeeld door gebruik te maken van bestaande voorzieningen. Daarnaast is het belangrijk om auditrapportages en onderbouwingdocumenten op eenvoudige wijze te kunnen koppelen aan de procesactiviteiten. ~ Een web-enabled centraal systeem met een robuuste database verdient de voorkeur boven oudere technologie. Het verhoogt de toegankelijkheid voor eindgebruikers (door middel van een internetbrowser) en het faciliteert (door middel van een database) back-up en recovery door aan te sluiten bij reeds bestaande algemene IT-procedures. Ten slotte: enkele aanbevelingen Bij de selectie van een informatiesysteem voor riskmanagement is het zinvol rekening te houden met de volgende aspecten. ~ Hoewel de verantwoordelijkheid voor riskmanagement vaak bij een selecte groep medewerkers ligt, mag u ervan uitgaan dat riskmanagement over een aantal jaren de verantwoordelijkheid is van iedereen in de organisatie. Het is daarom zinvol een riskmanagementsysteem te kiezen dat eenvoudig en bedrijfsbreed toegankelijk is, bijvoorbeeld door middel van een centrale database en web-enabled schermen. ~ Riskmanagement kent een top-downaspect en een bottomupaspect. Het top-downaspect betreft het van bovenaf invoeren van een riskmanagementmethode (bijvoorbeeld COSO) en het bepalen van de structuur waarmee afdelingen, processen, risico s en controls in onderlinge samenhang moeten worden gedocumenteerd. Het bottom-upaspect betreft het daadwerkelijk identificeren en signaleren van risico s, bijvoorbeeld door het continu scannen van operationele systemen. Niet ieder informatiesysteem ondersteunt beide aspecten. Het is daarom zinvol om in een vroeg stadium vast te stellen wat binnen uw organisatie de hoogste prioriteit heeft: top-down of bottom-up. Vaak is het verstandig om te starten met een top-downstructuur en vervolgens de bottom-upaspecten aan deze structuur te koppelen. Ir. Sjoerd-Jaap Westra (sjoerd-jaap.westra@coda.com) is Business Consultant bij CODA N.V., leverancier van financiële informatiesystemen en systemen voor procesbeheersing en riskmanagement. D E C E M B E R W W W. K L U W E R F I N A N C I E E L M A N A G E M E N T. N L