Herfst: Snoeien in controls

Nu we in de herfst zitten, is het tijd om te snoeien in de tuin. Maar wellicht moet er ook wat méér gesnoeid worden; namelijk in controls in jouw organisatie.

Want zeg nu zelf; na een korte bloeiperiode is de aandacht voor veel controls wel weggelopen, toch? Velen zijn ooit opgetuigd maar niemand weet eigenlijk meer welk doel ze dienen. Gevolg is dat het niet leeft in de organisatie en het daardoor moeilijk is de noodzakelijke informatie op te halen. Bovendien is paraaf op paraaf juist gevaarlijker omdat men wel voortbouwt op elkaar en bepaalde checks veronderstelt die er op papier wel zijn, maar in de praktijk…

Controls hebben als primair doel de organisatie te beschermen, maar als we door de bomen het bos niet meer zien werkt het de organisatie juist tegen.

Natuurlijk kun je niet zomaar snoeien. Je moet wel weten wat je doet. Daarom hierbij een stappenplan om je op weg te helpen in jouw snoeiplan.

Stappen:

Strategie

• Start met een strategische risicodialoog over de belangrijkste risico’s in relatie tot de strategie en de risk appetite. Gebruik deze basis top-down.

Risk

• Inventariseer en standaardiseer de huidige risico-informatie.
• Verzamel verschillende strategische en operationele risicoanalyses, risk control frameworks.
• Welk type risico’s zijn er en wat zijn met name de overlappende oorzaken?
• Ontwikkel op basis een standaard risicotaal; type oorzaken, gebeurtenis gekoppeld aan processen, doelen en/of afdelingen.
• Integreer bestaande risico-informatie naar de nieuwe structuur.
• Creëer één risicoregister waar iedereen bij kan.

Control

• Inventariseer en analyseer alle bestaande controls en risk frameworks.
• Selecteer de key risks en key controls op basis van impact op de strategie en relevante wetgeving (license to operate).
• Beoordeel of de controls noodzakelijk zijn, aanpassing behoeven of geïntegreerd kunnen worden.
• Gooi het restafval weg. Oftewel doe een voorstel om de druk te verlichten en deze controls weg te laten. Bereken hoeveel tijd- en geldbesparing hiermee gemoeid is.

Integreer Risk met Strategie en Control

• Maak een integrale rapportage/dashboard van de strategie in combinatie met key risk/controls en vraag goedkeuring bij weglaten.
• Na akkoord; communiceer naar de organisatie welke controls voortaan extra aandacht krijgen en welke weggelaten moeten worden.

Tot slot:
Met deze stappen komt er weer focus in de controls en meer ruimte voor de business. Ook zal het begrip draagvlak creëren tot meer medewerking vanuit de business. Los van de inhoudelijke stappen is het ook zinvol om een analyse te maken van de huidige en gewenste workflow bij informatievoorziening.

Bron: Naris, Foto: Naris