“GRC is in Amerika nu een grotere hype dan SOx ooit is geweest,” aldus Frank Leenders van Ernst & Young op een bijeenkomst van Augustus Connect(s). “Het is een vrijwillig initiatief. GRC staat voor governance risk en compliance. En het mooie van dit nieuwe buzz woord is dat governance er ook bij hoort. Een vitaal onderdeel dat te vaak vergeten is in het verleden.”
GRC (governance, risk en compliance) is met name het proberen te bevatten en te voldoen aan richtlijnen die van buitenaf naar je toekomen. Daarnaast wil de onderneming een doel bereiken. En om dat doel te bereiken zijn er risico's waar je zo goed mogelijk mee omwil gaan. Veel organisaties zijn hier na de economische crisis stevig mee aan de slag gegaan.
De controllers van de netwerkgroep Augustus Connect(s) keken na een inleiding van Frank Leenders (E&Y) samen hoe ver hun organisaties waren op het gebied van governance, risk en compliance. Is er sprake van een leidende organisatie? Waarbij de risicocultuur vanuit de top wordt aangejaagd en van daaruit vervolgens keurig vertakt de organisatie door? Is riskmanagement volledig geïntegreerd binnen business planning en performance management? Of staat de organisatie nog maar aan de basis? Met autonoom handelende risk managers, inconsistente waarden en beloningen op gebied van risk, ad hoc assesments en monitoring en de focus nog primair op finance en compliance?
Integrale
Veel dingen bleken wel geregeld, maar het gros van de aanwezige financials miste toch met name het integrale in het riskmanagement binnen hun organisatie. Veelal worden verschillende ‘risk-achtige' audits naast elkaar uitgevoerd, bijna zonder dat men het van elkaar weet. Interessant was het ook te zien dat mensen op verschillende plekken binnen eenzelfde organisatie soms heel verschillend aankijken tegen de bestaande riskorganisatie!
Frank Leenders beaamt dat er soms een groot verschil wordt ervaren tussen de second en third line en het hoger management. ‘Uit onderzoek blijkt dat het nogal eens voorkomt dat het hoger manager meent dat ze de zaken goed voor elkaar hebben. Terwijl er een neutraal antwoord komt op stakeholder of senior manager niveau. Dat zegt een heleboel over die governance. Dat is een terugkerend thema. De governance is binnen risk management ontzettend belangrijk. Als je het bij een bedrijf ziet mislopen, dan ligt het ook negen van de tien keer aan de governance. De fermheid van de persoon die de verantwoordelijkheid moet pakken.'
Efficiënter
Uit de economic survey (E&Y) van eind 2009 blijkt dat72 procent van de ondervraagde bedrijven meer dan zeven risk functies opgetuigd had. Dat zijn er nogal wat. Maar als je gaat tellen: third line of defense, internal audit; second lines of defense, hr, insurance, hse-afdeling, kom je in elke organisatie al snel tot een handje vol.
Driekwart van die bedrijven heeft aangegeven met die zeven risk management functies overlap te hebben. Hoe ga je dat coördineren? De helft ziet toch nog gaten in de dekking. Niet gek is dan dat 96 procent meent dat er goede kansen zijn om te verbeteren. En dat er een efficiencyslag te maken is.
'Over het algemeen zie je dat 4 tot 5 procent van de omzet wordt uitgegeven aan GRC,' aldus Leenders. ‘Dat zijn niet alleen de auditafdelingen (de obvious costs) en de externen die rondlopen, maar het zijn ook de controls die je bedenkt en de manier waarop je ze uit. Denk bijvoorbeeld aan GRC-software. Er zijn veel bedrijven met verschillende pakketten, die allemaal hetzelfde kunnen, maar ze hebben ze wel alle vijf of alle zes.'
Ontwikkelingen risk management
In de adviespraktijk ziet Frank Leenders onder andere de volgende ontwikkelingen op het gebied van risicomanagement.
- Veranderende attitude: eerder ging het vooral om financiële risico's. Het SOx-tijdperk hebben we achter ons. Nu gaan we kijken hoe het breder kan.
- Volledigheid: het wordt meer dan alleen die ene silo (finance). Het wordt veelomvattender.
- Pro-actief: sinds de crisis wil iedereen pro-actiever zijn. Zijn we tijdig gewaarschuwd? Zo nee, hoe komt dat?
- Risico tolerantie/risk appetite: niet langer alle risico's proberen te mijden, maar ook kijken welke risico's acceptabel zijn
- Transparantie: via datasystemen, rapportage.
- Board communications: hoe lopen de rapportagelijnen? Zijn er risk committees? Audit committees? Moet er een cro komen? Hoe ga je die functie inregelen? Ook het governance vraagstuk zie je daar vaak terugkomen.
- Risk committees: zijn niet altijd ingeregeld. Wat is dan de rol ervan?
- Specialty skills: hoe breder grc wordt, hoe moeilijk het wordt de afdeling te bemannen.
- Monitoring: op welke manier doe je dat? En welke lines of defense betrek je daarbij?
- Governance: belangrijk om duidelijk neer te zetten in de organisatie, zodat voor iedereen duidelijk is wie verantwoordelijk is voor welk terrein. Een holistisch perspectief.
Tijdens de Nationale Controllersdag 2011 op 16 juni in Spant! in Bussum zal Frank Leenders een workshop geven waarin u zelf aan de slag kunt om te kijken hoe het binnen uw organisatie gesteld is met governance, risk en compliance.
Kijk hier voor meer informatie
