We zien dat ondernemingen de laatste jaren initiatieven ontplooien om de organisatieonderdelen die belast zijn met taken op het gebied van risicomanagement, interne controle, compliance en audit beter te laten samenwerken of zelfs te integreren. Deze initiatieven zijn veelal ontstaan uit de wens en noodzaak om activiteiten die samenhangen met governance, risk en compliance efficiënter en transparanter in te richten. Bovendien geldt dat de wetgeving en regeldruk toenemen en ondernemingen zoeken naar het op efficiënte en effectieve wijze voldoen aan de vereisten vanuit die wet- en regelgeving en andere ‘control frameworks’. Toch slagen niet alle ondernemingen erin om de samenwerking tussen de verschillende organisatieonderdelen op een effectieve en efficiënte manier tot stand te brengen. Een geïntegreerde aanpak op het gebied van Governance, Risk en Compliance (GRC) is hiervoor de oplossing. Dit artikel beoogt inzicht te geven in de wijze waarop een GRC-implementatie succesvol kan verlopen. De aanpak, voorwaarden en mogelijke valkuilen komen aan bod. Inzicht hierin verhoogt de slagingskans van GRC. Een effectieve, efficiënte en transparante samenwerking en/of integratie is dan binnen handbereik.
Inleiding
Interne beheersing is van alle tijden en wordt binnen ieder bedrijf op een eigen manier ingevuld. Sinds vele jaren echter zien we dat binnen veel ondernemingen een ruime schakering aan functies en afdelingen is ontstaan die zich bezighouden met allerlei deelaspecten van die interne beheersing: interne controle, inspectie, (operational) risk management, business continuity management, information security, compliance, legal, IT, planning en control, internal audit. Al deze functies vervullen een belangrijke rol, maar wel elk op hun eigen aandachtsgebied met eigen specifieke kenmerken. Ondernemingen zijn er inmiddels achtergekomen dat deze veelheid aan functies en afdelingen onvoldoende effectief is en ook nog eens inefficiënt opereert. Niet alleen vanuit het bedrijfsleven zelf, aangemoedigd door raden van commissarissen en raden van bestuur, maar ook vanuit de aandeelhouders en toezichthouders wordt steeds grotere druk uitgeoefend om een transparant inzicht te verkrijgen in de écht belangrijke risico’s, de beheersing daarvan en een heldere en duidelijke rapportage. Het belang om de verzameling aan risico- en ‘control’-functies beter te laten samenwerken dan wel te laten integreren is daarmee duidelijk.
GRC staat voor Governance, Risk & Compliance. In de markt zien wij dat de initiatieven betreffende GRC ook wel aangeduid worden als ‘risk convergence’, ‘integrated assurance’, ‘E-GRC’ en ‘single view of risks’. Deze termen worden tegelijkertijd ondersteund door evenzovele (internal) control frameworks[Diverse frameworks voor de interne beheersing van organisaties zijn in omloop, zoals COSO-ERM, COCO, Cadbury, Cobit en ITIL.] en GRC-software, waaronder SAP GRC, Thomson Reuters, OpenPages en BWise ([Gart09]). Alle hebben zij één gemeenschappelijk doel, namelijk het wegnemen van de ‘silo-gedachte’ en het verminderen van redundanties die momenteel bestaan tussen de verschillende governance-, risk- en complianceactiviteiten door het implementeren van één GRC-framework, ondersteund door één IT-platform en één applicatie. Het verbeteren van de samenwerking, of de integratie van activiteiten van de verschillende organisatieonderdelen belast met risicomanagement, interne controle, audit en compliance, is één van de resultaten van geslaagd GRC. We zien dat ondernemingen, die veelal te maken hebben met hoge vereisten vanuit de wet- en regelgeving en een bepaalde rol hebben in het maatschappelijk verkeer, een grotere bereidheid of drang ervaren om de samenwerking en/of integratie tot stand te brengen. Deze ondernemingen zijn veelal actief in de financiële sector, de ‘chemicals’ en ‘energy and utilities’. Maar ook ondernemingen in andere sectoren zien steeds vaker het belang van geïntegreerd GRC. Door geïntegreerd GRC zal de bedrijfsvoering aantoonbaar ‘in control’ zijn en ontstaat een verbeterd en transparanter inzicht in de status van risico’s en control frameworks, alsmede een expliciete afstemming van taken en verantwoordelijkheden tussen de ‘silo’s’, en kunnen de wijze, snelheid en effectiviteit van rapportering significant verbeteren door de inzet van GRC-software.
Maar met een geïntegreerd ‘control framework’ en GRC-software bent u er nog niet. In de praktijk zien we veel initiatieven, maar veelal leveren deze op termijn niet het gewenste resultaat. De verschillende afdelingen voelen zich vaak te uniek om samen te werken (wet- en regelgeving, dan wel diverse codes kunnen het beste vanuit het eigen expertisegebied benaderd worden, meent men, waarbij samenwerking, laat staan integratie, enkel van de hoofdzaak afleidt). Daarnaast zullen veel van deze afdelingen angstig zijn dat de zorgvuldig opgebouwde expertise, tooling, methodieken, rapportagestructuren en ontwikkelde risk ratings overboord gegooid gaan worden.
Bij veel organisaties wordt er op verschillende niveaus invulling gegeven aan onder meer het voldoen aan wet- en regelgeving en internecontroleraamwerken, het beheersen van risico’s, het uitvoeren van interne controles, het uitvoeren van audits en de invulling van governancevraagstukken. Er wordt ook wel eens gesproken over het ‘three lines of defense’-model. Alle lagen in dit ‘three lines of defense’-model, te weten het management, de ondersteunende risico- en controlfuncties en internal audit, vervullen een rol op het gebied van GRC en hierin zit op bepaalde aspecten een overlap. Deze aspecten zullen wij in dit artikel verder toelichten. Daarnaast zien wij dat door realisatie van GRC de totale inzet van de ‘three lines of defense’ duurzaam vermindert en daardoor efficiënter wordt (zie figuur 1). Door een vergaande realisatie van GRC te bewerkstelligen verschuift de inzet van de verschillende rollen bij interne beheersing van derde en tweede lijn naar de eerste lijn (het management), waar deze in essentie ook thuishoort. In figuur 1 is van links naar rechts de zwaarte van de interne beheersingsactiviteiten weergegeven bij een lage realisatie van GRC (links) en een hoge realisatie van GRC (rechts).
Figuur 1. Rolverdeling van de ‘three lines of defense’ bij een verdergaande realisatie van GRC.
Voor een geslaagde uitrol van GRC binnen organisaties is een aantal factoren bepalend. In dit artikel beogen wij een antwoord te geven op de volgende vragen:
- Wat is het belang van een geslaagd GRC? Waarom zouden organisaties moeten streven naar geïntegreerd GRC?
- Op welke, stapsgewijze, manier kan een organisatie een succesvolle uitrol van GRC bereiken?
- Wat zijn de voordelen van geïntegreerd GRC?
- Wat zijn de voorwaarden voor een succesvolle uitrol van geïntegreerd GRC?
Het belang van geslaagd GRC
De wildgroei
Redenen waarom organisaties naarstig op zoek zijn naar een effectieve en efficiënte inrichting van de gehele beheersingsorganisatie rondom governance, risk en compliance, zijn velerlei. Het belang van geslaagd GRC is echter pas goed aan te geven als ook gekeken wordt naar de aanleiding, waarom deze organisaties in beginsel de wildgroei aan deze functies hebben laten ontstaan. Immers, geen organisatie kiest er bewust voor om, zonder inzicht in de totale kosten en met verlies van een helder en overkoepelend beeld (lees: transparantie), activiteiten uit te voeren die ogenschijnlijk op elkaar lijken, dan wel overlappend zijn. De aanleidingen voor de wildgroei zijn opgenomen in tabel 1.
Tabel 1. Aanleidingen voor de wildgroei. [Klik hier voor grotere afbeelding]
Het belang
Het belang van een geslaagd GRC-initiatief ligt dus besloten in veel van de hierboven geschetste problemen. Volgens het AMR Research ([AMRR08]) is het belang van een geslaagd GRC te vinden in de volgende (in volgorde van belangrijkheid) drivers:
- het beter managen en beheersen van risico’s in de business;
- het reduceren van de totale kosten van GRC-activiteiten;
- het automatiseren van GRC-activiteiten en het continu toepassen daarvan;
- het leveren van interne en externe transparantie;
- risico’s en kosten van non-compliance;
- het opzetten van een verdedigbare informatieomgeving.
Het probleem is echter dat deze drivers vaak onvoldoende gekwantificeerd kunnen worden. Immers, de huidige ‘cost of risk’, ‘cost of control’ en ‘cost of compliance’ zijn onvoldoende duidelijk. Om dit helder te krijgen zou een inventarisatie gemaakt moeten worden van alle GRC-gerelateerde kosten die binnen een organisatie worden gemaakt. We praten dan niet alleen over de externe en interne auditkosten, maar ook over eerste en tweede ‘line of defense’-kosten en kosten van de operationele controls, inclusief de in kosten uitgedrukte urenbesteding voor GRC-activiteiten. Deze laatste vormen vaak de verborgen kosten, doordat zij in de reguliere bedrijfsuitvoering zijn opgenomen. Daarnaast geldt dat veel van de beheersingsmaatregelen onvoldoende ingedeeld zijn in ‘operationele controls’ en ‘monitoring controls’ ([Klum09]) en het inzicht ontbreekt in de mate waarin controls manueel dan wel geautomatiseerd worden uitgevoerd. Tevens blijkt dat veel organisaties onvoldoende zicht hebben op hoeveel tijd (en dus kosten) wordt besteed aan correctiewerkzaamheden naar aanleiding van geconstateerde gebreken in de uitvoering. Zie hiervoor figuur 2 inzake de componenten van beheersingskosten.
Figuur 2. Componenten van beheersingskosten.
Het integreren van verschillende ‘control frameworks’ is hier vaak een goede eerste aanzet toe maar is zeker niet voldoende.
De business case ([AMRR09]) voor een succesvolle implementatie van GRC is er wel degelijk, maar dient opgesteld te worden. De uitdaging ligt in het bepalen van de geschatte opbrengsten (of verlaagde kosten). Dit kan tot uitdrukking komen in een aantal aspecten zoals:
- besparing in aantal fte’s belast met GRC-taken;
- verhoging van de productiviteit door een efficiëntere uitvoering van GRC-taken, bijvoorbeeld door een aantal ‘controls’ te automatiseren;
- stroomlijnen en optimaliseren van bedrijfsprocessen;
- gezamenlijk uitvoeren van review- en auditwerkzaamheden door de staven, waardoor redundantie wordt verminderd;
- verbetering van risicomanagement en GRC-rapportages (dashboards);
- sneller beschikbaar hebben van stuurinformatie door inzet van GRC-software, waardoor transparantie verbetert.
De geschatte opbrengsten (of verlaagde kosten) hebben een kwantitatief, maar zeker ook een kwalitatief karakter. Een succesvolle implementatie van GRC vraagt ook een investering. Derhalve is het van belang om een gedegen business case op te stellen, waarin ook de aanpak voor een succesvol GRC is bepaald.
Een aanpak tot succesvolle uitrol van GRC
Een visie op geïntegreerd GRC
Ten behoeve van een succesvolle uitrol van GRC is het van belang dat organisaties een visie ontwikkeld hebben op GRC. Dit betekent dat duidelijk moet zijn waar de organisatie nu staat op het gebied van GRC en waar zij naartoe wil groeien (de ambitie). Deze ambitie kan daarbij ingegeven zijn vanuit verschillende invalshoeken. Mogelijk is er een concurrentievoordeel te behalen door snellere, scherpere en beter geïnformeerde besluitvorming. Maar wellicht kan het ook de ambitie zijn om allereerst de interne beheersing aantoonbaar op orde te hebben. Ook in situaties waar toezicht plaatsvindt door bijvoorbeeld toezichthouders, zoals DNB, of waar rating agencies over de schouder meekijken, kan het wenselijk zijn een geïntegreerde oplossing voor alle risico- en controlfuncties te hebben.
Al met al betekent bovenstaande dus dat GRC niet zomaar een ‘gezamenlijk’ uitvoeren van enkele activiteiten betreft. Het betreft een volledig geïntegreerd denken en werken volgens een efficiënt en effectief businessmodel, waarbij eenduidigheid bestaat over alle binnen het GRC-domein uit te voeren werkzaamheden, van strategiebepaling tot en met uiteindelijke rapportage en effectmeting en een goede samenwerking en afstemming met de activiteiten buiten dit GRC-domein.
Figuur 3 toont deze geïntegreerde benadering. GRC wordt hierbij gedefinieerd als:
- het geïntegreerde ‘framework’ dat vanuit de organisatiedoelstellingen
- een verbinding legt tussen ‘governance’-, ‘risk’-, ‘control’-, ‘compliance’- en ‘assurance’-functies
- teneinde een uniforme, consistente en veelomvattende visie op GRC door te voeren
- in de gehele organisatie.
Binnen deze benadering wordt uitgegaan van een aaneenschakeling van opeenvolgende inrichtings-, uitvoerings- en resultaatcomponenten.
Figuur 3. KPMG’s holistisch GRC-model.
De missie, welke de verwachtingen in zich bergt van de belanghebbenden van de organisatie, zal zijn vertaald in een strategie ten aanzien van ‘governance’-, ‘risk’-, ‘control’-, ‘compliance’- en ‘assurance’-taken, de te delen waarden en overtuigingen (values). Het bedrijfsmodel van deze GRC-activiteiten zal aangesloten moeten zijn op het bedrijfsmodel van de organisatie. De ‘value drivers’ bepalen uiteindelijk het succes van de GRC-activiteiten, geredeneerd vanuit de doelstellingen van de organisatie.
Het onderdeel ‘Governance, Organisation and Infrastructure’ wordt ook wel de ‘harde’ governance genoemd. De management- en toezichtstructuren worden hier bepaald, eenduidig voor alle benodigde risico-invalshoeken en afgestemd op elkaar. Voor bijvoorbeeld banken ontstaat hierdoor een eenduidige structuur voor credit, market, liquidity en operational risk. Rollen en verantwoordelijkheden worden bepaald en een strategische keuze wordt gemaakt over de inzet van (IT-) systemen en ondersteunende applicaties ten behoeve van de GRC-activiteiten en -rapportage. Specifieke GRC-software is hiervoor beschikbaar in de markt.
‘Culture & Behavior’ wordt ook wel aangeduid met de ‘zachte’ governance. Robuuste GRC werkt alleen als zaken als integriteit, motivatie, discipline, communicatie, verantwoordelijkheid, onafhankelijkheid en transparantie volledig zijn ingebed in de organisatie en bij haar mensen. Cultuur en gedrag moeten in de harten en in de hoofden van de medewerkers zitten. Het belang van een eenduidige en positief ingestelde cultuur kan niet te vaak worden benadrukt. Het is één van de belangrijkste voorwaarden voor een geslaagd GRC. Binnen deze cultuur worden zaken genoemd en uitgedragen als ‘tone at the top’, training, bewustwordingssessies, compensatie- en beloningsschema’s, ‘soft controls’, open, eerlijke en heldere communicatie.
Het ‘risk profile’ wordt minimaal eenmaal per jaar door middel van een ‘assessment’ opgesteld, gebruikmakend van alle expertisegebieden van de organisatie. Dit ‘assessment’ beslaat dan ook al haar werkvelden. Er zal een eenduidig en allesomvattend beeld van de ‘risk universe’ ontstaan en een, aangesloten op de missie en strategie van de onderneming, eenduidige inschatting van de risico’s. Een uniforme risicometing per risicocategorie is daarbij van cruciaal belang in het doorvertalen van het risicoprofiel naar vervolgactiviteiten, monitoring en rapportages.
Het ‘operational model’ en de ‘business processes’ vormen het hart van GRC. Hier vinden de operationele activiteiten plaats en is het van belang om de risico’s te beheersen ten aanzien van bedrijfsactiviteiten zoals inkoop, verkoop, productie, R&D, HR en accounting, rekening houdend met het opgestelde ‘risk profile’. In dit ‘hart’ zijn de activiteiten belegd en is het ‘control framework’ voor risicobeheersing opgesteld. De reguliere GRC-activiteiten bestaan onder andere uit het maken van beleid, het onderhouden van ‘risico en control frameworks’, het registreren en opvolgen van incidenten, issues en ‘losses’, het onderwijzen van het management, het uitvoeren van bewustwordingsprogramma’s en het uitvoeren en begeleiden van goedkeuringsprocessen voor nieuwe producten.
Binnen ‘Enterprise assurance’ zijn alle monitoring-, review- en interne auditactiviteiten samengebracht die gecoördineerd worden uitgevoerd ten behoeve van het veiligstellen van de doelstellingen van de organisatie (zoals vervat in de missie en strategie en vertaald naar tactische en operationele doelstellingen). Deze ‘enterprise assurance’ kan in hoge mate efficiënt en effectief worden vormgegeven. Het concept van ’embedded testing’ ([Klum09]), nog eens door de COSO-organisatie extra benadrukt in de laatste guidance op de monitoringrol binnen COSO ERM ([COSO09]) leidt hierbij tot een efficiënte inrichting van de gehele interne beheersings- en verantwoordingsstructuur. Deze gaat uit van het zo dicht mogelijk bij het management beleggen van de monitoringrol op de uitgevoerde operationele controls. Wanneer deze effectief is ingericht, zal de reviewfunctie (tweede ‘line of defense’, zoals risk management en compliance) slechts een ondersteunende en toetsende rol hoeven te hebben na het uitvaardigen van beleid. Internal audit kan vervolgens gericht kijken naar de adequate opzet en werking van de tweede ‘line of defense’. Als deze ‘line’ zijn werk goed blijkt te doen, dan hoeft internal audit enkel vast te stellen dat het management zijn monitoringrol adequaat vervult en zal internal audit slechts op steekproefbasis een test willen doen op de ‘operating effectiveness’ van de operationele controls. Verder kunnen geautomatiseerde analysemethodieken, alsmede continuous monitoring / continuous auditing een belangrijke bijdrage leveren aan de efficiënte en effectieve inrichting van de interne beheersing. Hierbij kan gedacht worden aan software zoals Idea, Approva, SAP GRC Process Controls en ACL. Op basis van vooraf vastgestelde parameters zullen afwijkingen in trends en bandbreedtes leiden tot nadere analyse. Ook tooling voor het vastleggen, volgen en opvolgen van issues, incidenten en fouten in de interne beheersing behoort tot de gereedschapkist inzake ‘enterprise assurance’. Hierbij moet gedacht worden aan GRC-software zoals BWise, OpenPages, Thomson Reuters, Axentis en Qumas ([Forr07]).
Wanneer dit alles goed werkt en is ingericht, is de organisatie in staat op adequate, lees effectieve, efficiënte en tijdige wijze, te rapporteren over de performance en over de mate waarin voldaan wordt aan de interne en externe wet- en regelgeving en richtlijnen (compliance). Daardoor zal de organisatie flexibel (resilience) kunnen ingaan op toekomstige ontwikkelingen, zowel intern als extern.
GRC en COSO-ERM
Goed beschouwd hebben GRC en COSO-ERM veel gemeen. Binnen het holistische GRC-denkmodel, zoals hierboven geschetst, komen alle COSO ERM-activiteiten, alle doelstellingen en alle lagen in de organisatie aan bod. Daarnaast heeft ERM ook de invalshoek om vanuit alle risicocategorieën een eenduidige en integrale aanpak in te richten. In figuur 4 zijn de COSO-ERM-elementen weergegeven, te weten de acht activiteiten (voorvlak), de lagen binnen de organisatie (het rechter zijvlak) en de doelstellingen (bovenvlak). Echter, er is een verschil. Het COSO-ERM geeft met name aan welke activiteiten moeten worden verricht voor welke doelstellingen en verdeeld binnen de verschillende organisatielagen. Het holistische GRC-model daarentegen geeft juist aan hoe deze wijze van geïntegreerde aanpak en aanpak van verbeterde samenwerking kan worden ingericht en kan werken. Beide modellen vullen elkaar dus uitstekend aan.
Figuur 4. COSO-ERM-framework.
De complexiteit van het inrichten van GRC
Ondanks dat de voordelen zo duidelijk zijn, de business case gemaakt en de visie (zie het holistische model) helder verwoord zijn, blijkt dat het feitelijk tot stand brengen van GRC in de praktijk ingewikkeld is en vaak ook mislukt, dan wel dat op de weg naar het succes grote hobbels ontstaan.
Maar waarom ondervindt het inrichten van geïntegreerd GRC in de praktijk dan zoveel obstakels? Als u werkzaam bent in één van de risico- en controlfuncties, zoals risk management, compliance, IT, IT security, business continuity management of internal audit, of als u in de business actief bent, dan zult u één van de volgende bezwaren ongetwijfeld herkennen.
- Vaak zijn risico- en ‘control’-functies verantwoordelijk voor slechts één afgebakend gedeelte van de interne beheersing. Veelal bezit de functie specifieke kennis en kunde en is zij van mening dat deze functie niet door anderen gedaan kan worden, begrepen wordt, dan wel dat samenwerking een effectieve bijdrage levert aan het specifieke werkveld.
- De functies worden aangestuurd door een hoofd, die een autonome verantwoordelijkheid voelt voor de betreffende afdeling. In deze afdeling is een bepaalde hoeveelheid mensen werkzaam. Samenwerking en (erger nog) integratie leidt vaak tot de angst in te moeten leveren op autonomie, zelfstandigheid en aantal mensen waarvoor men verantwoordelijk is.
- Ieder van de functies heeft de afgelopen jaren zorgvuldig gewerkt aan de totstandkoming van adequate procedures, processen, IT-systemen en -applicaties, rapportages en methodieken voor het eigen werkveld. Samenwerking en integratie betekenen dat deze ontwikkelde methodieken, databases, applicaties, enzovoort moeten worden aangepast, dan wel dat hun bijdrage in de nieuwe GRC-omgeving nihil is.
Vanuit de business en vanuit ‘corporate’ wordt over het algemeen wel steeds vaker aangedrongen op meer samenwerking en het reduceren van dubbel werk. Binnen ieder van de functies wordt het voordeel van samenwerking wel erkend, echter blijft het vaak bij kleine (en vaak goede) verbeteringen, zoals het op elkaar afstemmen van planningen en het samen optrekken bij risk en ‘control self assessments’. Aan de managers van ieder van die risico- en controlafdelingen gezamenlijk dus de opdracht om daar een passend en verder reikend antwoord op te vinden.
De GRC-scan
Zoals aangegeven, blijkt het inrichten van GRC in één omvangrijk en allesomvattend project vaak onhaalbaar. Derhalve pleiten wij ervoor om te starten met een GRC-scan om te bepalen op welke wijze een succesvolle uitrol van geïntegreerd GRC gerealiseerd kan worden. Hiermee worden de obstakels die een succesvolle uitrol in de weg staan, zoveel mogelijk vroegtijdig geïdentificeerd en kan een gefaseerde implementatie van GRC gestart worden binnen de ruimte die de organisatie daarvoor biedt.
Een aanpak tot een succesvolle uitrol van ‘geïntegreerd GRC’ start met het bepalen wat de huidige status is van GRC binnen de organisatie en het bepalen van het ambitieniveau van de organisatie ten aanzien van GRC (de gewenste status). Vervolgens is het belangrijk om inzicht te krijgen in welke onderdelen van GRC de meeste voordelen voor de organisatie als geheel opleveren. Deze voordelen kunnen in termen van geld worden gedefinieerd, maar ook in verhoging van transparantie, snelheid van besluitvorming, verlaging van redundante werkzaamheden en het minder ‘lastigvallen’ van de business. Door middel van het inzetten van de GRC-scan wordt de organisatie op een aantal aspecten doorgelicht. De uitkomsten van een dergelijke GRC-scan vormen mede de basis voor de op te stellen business case en het implementatieplan om gefaseerd en ‘gedragen’ tot geïntegreerde GRC over te gaan.
De GRC-scan beantwoordt op hoofdlijnen de volgende vragen:
- Wat is de huidige status van GRC binnen de organisatie?
- Wat is het ambitieniveau voor GRC?
- In hoeverre is de organisatie klaar om te starten met GRC?
- Wat zijn de stappen, en in welke volgorde, om het ambitieniveau te realiseren?
Door middel van gerichte interviews worden, aan de hand van een vragenlijst, bovenstaande aspecten inzichtelijk gemaakt. Alleen dan is de organisatie in staat de successen van GRC te extrapoleren naar meer successen voor de organisatie. De voordelen van de GRC-scan bestaan onder meer uit het gefaseerd ontwikkelen en uitrollen van de verschillende GRC-componenten. Hierbij is het van belang dat gestart wordt met die componenten waarvan de perceptie bestaat dat deze de meeste voordelen voor de organisatie, dan wel de ondersteunende risico- en controlfuncties opleveren. Afhankelijk van de veranderbereidheid van de verschillende functies en het belang dat de functies hebben bij het uitrollen van die componenten wordt een keuze gemaakt voor de volgorde van implementatie en wie betrokken worden bij de uitrol. Het inzichtelijk krijgen van de ‘quick wins’ is hierbij één van de belangrijke drivers voor verder succes. Tijdens de GRC-scan zal een analyse plaatsvinden van welke componenten relatief snel, eenvoudig en tegen relatief lage kosten te realiseren zijn. Deze quick wins zullen de weg vrijmaken voor de volgende successen.
Voor de uitvoering van de GRC-scan zijn alle GRC-activiteiten overzichtelijk en praktisch gegroepeerd in negen groepen en aan de hand van de vragenlijst inzichtelijk gemaakt. Deze activiteitgroepen bevatten activiteiten die binnen iedere governance-, risk- en controlfunctie aan bod komen, echter veelal ieder op een eigen specifieke manier worden ingevuld. Deze negen activiteitengroepen sluiten volledig aan op KPMG’s holistisch GRC-model. Echter, het holistisch GRC-model gaat niet uit van de groepering van activiteiten, maar van de opvolgende inrichtings-, uitvoerings- en resultaatcomponenten van GRC. Zie figuur 5 voor de activiteitengroepen voor de GRC-scan. Door de status, ambitie, veranderbereidheid en voor- en nadelen voor de organisatie op elk van deze gebieden te bepalen, kan een bewuste keuze worden gemaakt voor hoe het groeipad naar een geïntegreerde GRC-omgeving eruit kan zien op voor de organisatie herkenbare onderdelen.
Deze activiteitengroepen betreffen:
- Strategie & missie. Deze component gaat nader in op elementen als aansluiting van bedrijfsdoelstellingen op de risk appetite en het algemene ambitieniveau ten aanzien van risico-integratie. Verder wordt het risicobusinessmodel hier verder vormgegeven alsook de communicatie naar de rest van de organisatie.
- Charters. Bij deze component gaat het met name om het nader structureren van functies, rollen, taken, verantwoordelijkheden en inzet van resources en andere hulpmiddelen.
- Planning. Deze component behelst de wijze waarop de planning van activiteiten van ieder van de functies plaatsvindt en de mate waarin hier integratie kan plaatsvinden, dan wel een verbeterde samenwerking.
- Risk & Control Self Assessments. Deze component gaat nader in op inzet en status van RCSA’s binnen de organisatie, zowel voor nieuwe producten, voor review van bestaande processen als voor incidenten.
- Databases (voor issues, losses en events). Deze component betreft met name de kwaliteit van beschikbare gegevens, toegankelijkheid van gegevens en het hebben van een stand-alone of geïntegreerde IT-oplossing.
- IT. Deze component gaat nader in op de huidige IT-infrastructuur in termen van platformen, applicaties en overige IT-gerelateerde oplossingen en de gewenste IT-oplossingen, zoals de inzet van GRC-software en het laten draaien van de risico- en controlfuncties op dezelfde server waardoor uitwisseling van data gemakkelijker kan plaatsvinden.
- Risk & Control Framework. Deze component bekijkt met name de aanwezige control frameworks, de overlap en integratie en inzet van GRC-tools.
- Rapportages. Deze component betreft vooral de rapportagestructuren, kwaliteit en snelheid van rapportering en beschikbaarheid van juiste, tijdige en volledige informatie om geïnformeerd keuzen te maken en besluiten te nemen.
- Cultuur & gedrag. Deze component gaat nader in op de veranderbereidheid binnen ieder van de functies, de cultuur en het gedrag ten aanzien van GRC en de wijze waarop medewerkers met hun verantwoordelijkheden omgaan.
Figuur 5. De componenten van KPMG’s GRC-scan. [Klik hier voor grotere afbeelding]
Als de huidige status en de gewenste status bepaald zijn en ieder van de gebieden is beoordeeld naar de mate waarin het bijdraagt aan de doelstellingen van de organisatie als geheel, dan kan de weg naar het ambitieniveau uitgestippeld worden (de roadmap). Zowel de voordelen van geïntegreerd GRC als de obstakels zijn dan, voor ieder van de gebieden, inzichtelijk. Als voorbeeld is voor het gebied ‘Strategie & missie’ in figuur 6 een overzicht opgenomen van de mogelijke obstakels en voorbeelden.
Figuur 6. Mogelijke voordelen en obstakels – Strategie & missie.
Voor ieder van de gebieden worden deze gepercipieerde voordelen en obstakels uitgezet in een grafiek (zie figuur 7), waarbij de gebieden die in de linker bovenhoek belanden de hoogste ‘benefits’ voor de organisatie opleveren terwijl bij de implementatie de minste obstakels worden voorzien. Met deze gebieden zal dus gestart moeten worden bij het ontwikkelen en uitrollen van GRC.
Figuur 7. Prioritymatrix voor GRC.
De voordelen en voorwaarden voor een geslaagde uitrol van geïntegreerd GRC
De grote vraag is nu wanneer de uitrol van geïntegreerd GRC als geslaagd kan worden aangemerkt. De belangrijke kenmerken van een geslaagde uitrol zullen gemeten moeten worden aan de hand van de realisatie van de opgestelde business case. Op basis van diverse GRC-implementaties in de praktijk komen veelal de volgende voordelen naar voren ([KPMG]):
- Organisaties die met GRC hun business performance verbeteren zullen merken dat zij hun flexibiliteit verhogen om veranderingen in de omgeving op te vangen, terwijl zij in staat zijn de ‘corporate’ reputatie te verbeteren en te bouwen aan verbetering van aandeelhouderswaarde.
- Samenwerking tussen internal audit-, risk management- en compliancegerelateerde functies verbetert waardoor eerstelijnsmanagement minder belast wordt met vragen en functies die overlappend zijn.
- Door inzet van GRC-software en continuous monitoring / auditing software verbetert het inzicht in de mate van beheersing van processen, risico’s, issues en kan door middel van ‘executive dashboards’ online inzicht gegeven worden in de huidige status. Daarnaast kunnen kosten verder gereduceerd worden door het gezamenlijk optrekken van diverse functies die deze dashboards combineren.
- Door meer geïntegreerde risk en control frameworks wordt de overlap in activiteiten gereduceerd en kan de hoeveelheid controls omlaag, dan wel zal door een rationalisatie in controls de business minder worden belast.
- De organisatie is beter en aantoonbaar ‘in control’.
- De organisatie kan flexibel en snel inspelen op veranderingen in omstandigheden in de omgeving (maar ook intern) op gebieden zoals wet- en regelgeving, behoeften van klanten en nieuwe producten.
Praktijkcasus
Bij een grote internationaal opererende financiële instelling is ervoor gekozen om voor enkele van de risico- en controlafdelingen te zoeken naar verhoging van de effectiviteit en efficiëntie van de interne beheersing door de samenwerking tussen deze afdelingen te verbeteren dan wel integratie te realiseren. Zeven van de tweede- en derdelijnsafdelingen (Inspectie, Operational Risk Management, Compliance, SOx, IT Security, Processmanagement en Internal Audit) deden mee aan dit initiatief. Op zes onderdelen zijn significante verbetermogelijkheden geïdentificeerd waardoor de effectiviteit van de interne beheersing en de efficiency van risicomitigering een positieve impuls lieten zien. Het betrof hier 1) de integratie van de charters, 2) het integreren van de risico- en control frameworks, 3) de inrichting van een GRC-applicatie, 4) de verdere afstemming van de risk & control selfassessmentactiviteiten, 5) het rationaliseren van de issue-, loss- en incidentdatabases en 6) de totstandbrenging van een Non-Financial-Risk reporting.
Aan de hand van een opgestelde business case en roadmaps voor verdere implementatie zijn de volgende voordelen als leidend aangedragen:
- Verbeteren van risicogerelateerde beheersing door focus op key-controls en gebruikmaking van de beste risicomanagementmethodieken.
- Verhogen van de centrale aansturing van risico- en beheersingsactiviteiten, met als gevolg het verlagen van verzekeringspremies, het verlagen van reputatierisico’s, en het verbeteren van een eenduidig zicht op risico’s.
- Verhogen van de effectiviteit van de operationele activiteiten door efficiënt onderhoud van controls, reductie van de gelaagdheid in risicorapportages en het verlagen van het aantal IT-applicaties.
- Kostenreductie in termen van verlaging van het aantal fte’s, gebruikmaking van eenzelfde IT-technologie en verlaging van redundantie.
- Reductie van risico’s met als gevolg een betere resource-allocatie, verhoging van reactiesnelheid op incidenten en een verhoging van de risk awareness.
Als voorwaarden voor het behalen van deze voordelen en successen geldt evenwel dat een aantal aspecten geadresseerd dient te worden. Enkele van deze voorwaarden betreffen:
- Veranderbereidheid van de managers en medewerkers binnen de verschillende functies (cultuur en gedrag).
- Gefaseerde aanpak op basis van de uitkomsten van een GRC-scan, waardoor gestart wordt met die componenten die de hoogste verwachte benefits opleveren voor de organisatie.
- Het inrichten van en invulling geven aan een gedegen communicatieplan, waardoor iedereen tijdig en transparant wordt geïnformeerd over de voortgang en wat de ontwikkelingen betekenen voor ieder individu.
- Commitment vanuit de leiding van de organisatie. Zonder dit commitment zal een geslaagd GRC niet tot stand komen.
- Tijd en geld beschikbaar maken om in GRC te investeren. GRC betekent dat een aantal zaken op het vlak van risico en control aanwijsbaar en rigoureus anders zal gaan. Hiervoor zal ontwikkeltijd en geld nodig zijn. Dit moet gebudgetteerd zijn en de hoogste leiding dient hiervoor de verantwoordelijkheid te nemen.
- Changemanagement. Gedurende het gehele traject zal aandacht voor de veranderingen plaats moeten vinden. Zonder deze aandacht zullen mensen geneigd zijn door te gaan met hun huidige activiteiten en bang zijn voor hetgeen nieuw op hen afkomt.
Conclusie
Een geslaagd GRC is haalbaar. Door inzicht te krijgen in de huidige status van de verschillende GRC-componenten binnen de organisatie, het ambitieniveau van de organisatie ten aanzien van elk van deze GRC-componenten en de veranderbereidheid van de verschillende functies zal een gedegen advies kunnen worden gegeven over de te volgen stappen. Als ook nog de gepercipieerde obstakels beoordeeld zijn wanneer elk van de componenten ontwikkeld en uitgerold zal worden, ontstaat een duidelijk beeld van hoe de organisatie tot een geïntegreerd en geslaagd GRC kan komen.
De GRC-scan biedt hiervoor het juiste handvat. De resultaten leiden tot een gedragen en transparant implementatieplan (roadmap) waarbij gekozen wordt om te starten met die componenten die bij implementatie de minste obstakels ontmoeten, maar wel het beste voor de business zullen opleveren. Uiteraard zal een geslaagde implementatie uiteindelijk alleen tot stand komen als wordt voldaan aan enkele randvoorwaarden, zoals de uitrol van een gedegen communicatieplan en de commitment van de leden van de raad van bestuur.
Literatuur
[AMRR08] AMR Research, The future of GRC, 2008, presentation by John Hagerty.
[AMRR09] AMR Research, The GRC Imperative – A pragmatic Guide to Jumpstarting your GRC Project, November 2009.
[COSO09] Internal Control – Integrated Framework, Guidance on Monitoring Internal Control Systems, COSO, January 2009.
[Forr07] The Forrester Wave™: Enterprise Governance, Risk, And Compliance Platforms, Q4 2007, For Security & Risk Professionals.
[Gart09] Gartner, Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms, Q3, 2009.
[Klum09] C. Klumper, Toepassing van de Monitoring component van het COSO-raamwerk, MAB, maart 2009.
[KPMG] KPMG, The evolution of risk and controls; from score-keeping to strategic partnering.