Add to collection(s) Add to saved
  1. Bedrijfsleven
  2. Management

Rubriek Verslaggeving en Verslaglegging (maart 2017)

advertisement 
Rubriek Verslaggeving
en Verslaglegging
Beheersen van vastgoedrisico’s
Op weg naar een risicobewuste cultuur
Door Ad Buisman en Marieke van de Putte
Er is veel te doen over Governance, Risk & Compliance (GRC). GRC ziet met name toe op
risicomanagement en naleving van wet en regelgeving. Ook voor vastgoedorganisaties essentieel.
Afgezien van hoe hier concreet invulling aan te geven, ervaren wij dat het vooral belangrijk is op
welke praktische wijze vastgoedorganisaties GRC onderdeel kunnen laten maken van de dagelijkse
praktijk. Denk aan waardecreatie, IT-implementaties, risicocultuur en programma’s voor ethiek,
gedrag en normen en waarden.
Dit artikel is daarom vooral gericht op het betrekken van de gehele organisatie bij GRC door:
a. het integreren van de GRC-vereisten in de cultuur van de organisatie;
b. aandacht voor de inhoud en vormgeving van de (risico) bedrijfsinformatie; en
c. het betrekken van de gebruikers bij de invulling van GRC door het verbeteren van hun kennis en
gebruik maken van tools waar zij graag mee werken.
Het belang van GRC en de interactie daarvan met cultuur kan als volgt worden weer gegeven:
Governance
Risico
cultuur
Compliance
Risk
Figuur 1. De interactie tussen governance, risk en compliance (GRC) en cultuur.
Introductie
Kader
GRC: het centraal zenuwstelsel van een bedrijf
GRC kan worden gedefinieerd1 als: ‘De verzamelnaam voor de methoden waarmee een organisatie
invulling kan geven aan governance, risk en compliance. Het gaat hierbij om hoe GRC functies
geïntegreerd kunnen worden binnen de bedrijfsprocessen en onderling kunnen worden afgestemd om
conflicten, inefficiënte doublures en lacunes te voorkomen. Alhoewel dit binnen elke organisatie
verschillend kan worden georganiseerd, gaat het met name om de activiteiten gericht op corporate
governance, risicomanagement en naleving van de relevante wet- en regelgeving’
Het belangrijkste woord in deze definitie is geïntegreerd; een organisatie kan de GRC-functies en
activiteiten immers ook in aparte silo’s organiseren – en dat is toch nog heel vaak het geval. Met een
geïntegreerde GRC-aanpak kunnen vastgoedorganisaties gemeenschappelijk GRC-beleid- en procedures
invoeren, die een meer eenduidige en efficiënte manier van risicomanagement opleveren. Een belangrijk
concept bij het ontwerpen van de methodiek van een dergelijk Business Control Framework is het COSO
Internal Control Framework 20132.
Een intelligente geïntegreerde aanpak stelt de vastgoedorganisatie in staat om belangrijke informatie te
verzamelen over de wijze waarop de onderneming effectiever en efficiënter kan functioneren. GRCintelligentie is daarmee goed te vergelijken met het centrale zenuwstelsel van ons lichaam. GRCintelligentie immers integreert en filtert alle ontvangen informatie, coördineert de beheersmaatregelen
en andere corrigerende activiteiten die de gehele organisatie heeft ingesteld en reageert op
alarmsignalen van buitenaf.
Een goed ingerichte GRC-functie had vele vastgoedfraudes kunnen voorkomen
Het is misschien te simpel om het belang te illustreren aan de hand van diverse
ondernemingsschandalen - waaronder helaas ook diverse vastgoedfraudes - van de afgelopen decennia.
Toch geven ze een duidelijk signaal af over het belang van GRC. Het is zeer waarschijnlijk dat met een
goed ingerichte GRC-functie veel van deze schandalen zich niet hadden voorgedaan. Een voorbeeld is de
DE vastgoedfraude – inmiddels al een klassieker – die de duistere kant van de Nederlandse
vastgoedwereld beschrijft met zijn ons-kent-ons-cultuur: het gunnen van het grote geld en slapende
interne en externe toezichthouders. Feit is dat deze gebeurtenissen niet alleen effect hadden op de
bedrijven zelf, maar ook significante en blijvende gevolgen hebben gehad op de samenleving en het
(economisch) vertrouwen in de vastgoedsector.
Los van de interne belangen is GRC ook vanuit extern oogpunt steeds belangrijker. Institutionele
beleggers in vastgoedorganisaties, financiers en toezichthouders stellen steeds hogere eisen aan een
goede invulling daarvan.
1 Vrije vertaling EY vanuit Wikipedia
2 Zie www.coso.org
GRC-fouten die je niet moet maken
Als je een rode lijn zoekt in de bovengenoemde casussen, zien je we dat er drie fundamentele GRCfouten werden gemaakt:
1. Er was geen eenduidig verband tussen het bepalen en uitvoeren van de strategie en de GRCactiviteiten. In het ontwikkelen en bijstellen van bedrijfsmodellen en strategieën werd
onvoldoende rekening gehouden met risico’s. Er was te weinig ruimte om de tegengeluiden te
horen en de mogelijke consequenties daarvan mee te nemen.
2. Het bestuur en de raad van commissarissen hadden onvoldoende zicht op de mate waarin de
organisatie werd bloot gesteld aan risico’s. Dit werd veroorzaakt door een gebrek aan focus,
gecombineerd met het ontbreken van relevante informatie. Een cascadering van risicoinformatie op de verschillende niveaus was nog niet of onvoldoende ingericht. Dit onderwerp
heeft gelukkig in de afgelopen jaren meer aandacht gekregen, onder andere doordat het in de
Corporate Governance Code is opgenomen.
3. In een aantal gevallen kende de risicomanagementfunctie geen professionele invulling.
Risicomanagement werd gezien als een ‘verplicht nummer’, dat periodiek uitgevoerd moest
worden om te voldoen aan de eisen die van buitenaf werden gesteld. Het werd echter niet
beschouwd als toegevoegde waarde en vormde geen geïntegreerd onderdeel van de dagelijkse
bedrijfsvoering: lees de eerste verdedigingslinie3.
Het is belangrijk om te benadrukken dat ook een goed GRC-systeem geen garantie geeft dat alles onder
controle is. Zoals bekend had Enron als “early adapter” al een volledig Enterprise Risk Management
ingevoerd. Hoogstwaarschijnlijk stonden de ‘special purpose entities’ echter niet in de scope van het
ERM-programma.
Geen angst cultuur, maar waarde toevoeging
GRC raakt alle risicocategorieën – niet alleen de financiële maar ook omgevings-, operationele, HR-, ITen meer governance-gerelateerde risico’s. Om ‘in control’ te zijn over de eigen activiteiten moeten
organisaties – los van mogelijke fraude – niet alleen inzicht krijgen in de risico’s van de eigen organisatie,
maar ook die van de toeleveranciers; bijvoorbeeld bedrijven aan wie de property management taak is
uitbesteed.
Het is absoluut niet de bedoeling om organisaties en bestuurders angst aan te jagen over de mogelijke
risico’s. GRC is niet alleen uitgevonden om bestuurders uit de gevangenis te houden. GRC moet
organisaties en bestuurders juist vertrouwen geven over de haalbaarheid van doelstellingen. En ook: het
gaat niet om het vermijden van risico’s - want zonder risicos’geen winst - maar om de bepaling van de
juiste verhouding tussen risico en rendement, ook wel risico appetijt genoemd. En als laatste, maar niet
ombelangrijk: een EY onderzoek4 heeft uitgewezen dat risicobewuste organisaties een hoger rendement
realiseren dan organisaties waar dat bewustzijn minder sterk te zoeken is.
3 De eerste verdedigingslinie (“first line of defensie”) betreft de invulling op de werkvloer. De tweede linie zijn de afdelingen interne
controle en risicomanagement en compliance. De derde linie is internal en external audit.
4 http://www.ey.com/Publication/vwLUAssets/EY_Turning_risk_into_results/$FILE/EY-Turning-risk-into-results.pdf
GRC is - als integraal onderdeel van de aansturing van de onderneming - daarom van groot belang om de
bedrijfsvoering te verbeteren en waardetoevoegend te kunnen innoveren. Als organisaties de
informatieverzameling, bewerking en rapportage over risico’s (risk intelligence) op een juiste en flexibele
wijze inrichten, kan de besluitvorming over de strategische planning en businessplanning op een
gestructureerde, geïnformeerde wijze tot stand komen.
De gehele organisatie moet bij GRC betrokken zijn
Veel GRC-projecten hebben hetzelfde lot ondergaan als belangrijke software-implementaties:ze zijn
duurder dan begroot, niet flexibel en worden onvoldoende door de organisatie gedragen. Slechte
ervaringen worden vaak veroorzaakt doordat het belangrijkste zwaartepunt bij de technologie ligt, en te
weinig op het veranderaspect, de cultuur en de proceskant. Zoals gesteld, moet GRC niet worden gezien
als een tool, maar als onderdeel van de dagelijkse praktijk.
Een breder publiek aanspreken
De organisatie moet een breder publiek aanspreken dan alleen de risk- & interne controle medewerkers.
Een GRC-afdeling zal in begrijpelijke taal ook de eindgebruikers, proces- en control eigenaren moeten
kunnen overtuigen van de noodzaak van de implementatie van GRC en de continue doorontwikkeling
daarvan. Over het algemeen is dit een langdurig veranderproces dat vraagt om een risico bewuste
cultuur. Een concreet voorbeeld van een blijvende integratie is het opnemen van de GRC
verantwoordelijkheden in de functiebeschrijvingen en het inzichtelijk en aantoonbaar koppelen met de
aanpak van ethiek binnen de organisatie.
Informatie, cultuur en soft controls
De Open Compliance and Ethics Group (OCEG) roept op tot ‘Interact’; een ethische en verantwoorde
betrokkenheid van iedereen binnen de organisatie bij GRC. Dit wordt nader gedefinieerd als het met
behulp van technologie mogelijk maken dat relevante informatie dusdanig wordt gemanaged dat het op
efficiënte en effectieve wijze in alle relevante lagen van de organisatie en aan de overige
belanghebbenden wordt verspreid. De OCEG benadrukt de noodzaak om binnen de organisatie
informatie beschikbaar te hebben die tijdig, relevant, betrouwbaar en veilig is voor het daarvoor
bestemde publiek. Met deze informatie kan iedereen de juiste taken goed uitvoeren en wordt het
gewenste gedrag gestimuleerd.
Een ‘verwaarloosde’ bedrijfscultuur kan serieuze implicaties hebben voor een organisatie. De
voorbeelden hiervan zien we dagelijks. Denk aan boetes, een groot personeelsverloop, fraudes en
reputatieschade. De onderneming kan echter de gewenste bedrijfscultuur positief beïnvloeden en
passende interventies toepassen, onder andere door middel van het inrichten van ‘soft controls’. Hiervan
profiteert de gehele organisatie, maar ook GRC. Zo worden de mensen op de werkvloer de grootste
bondgenoot bij het signaleren van mogelijke nieuwe risico’s, het onderling aanspreken op ongewenst
gedrag en het geven van waardevolle feedback. Betrokkenheid van iedereen bij GRC is daarom
essentieel. In dit kader zijn de genoemde soft controls, die toezien op de gedragsbeïnvloedende factoren
van een organisatie, zeer belangrijk.
De lange weg naar integratie
Het kost veel tijd en energie om het GRC-traject tot in alle details uit te werken en tegelijkertijd als
organisatie flexibel te blijven. De ontwikkeling van GRC gaat door verschillende stadia, waarin de
organisatie haar mensen moet meenemen op doorreis van tussen- naar eindstation. Onze ervaring is
dat de organisatie vooral de medewerkers het totaalplaatje moet uitleggen, inclusief de relatie met
strategische en tactische doelstellingen, welke stappen hiervoor ondernomen moeten worden en met
welk ambitieniveau en –tempo.
De traditionele manier is niet houdbaar
Zodra de druk van wet- en regelgevende instanties toeneemt, besteden bestuurders direct meer
aandacht aan de GRC-activiteiten. Redenen kunnen verschillend zijn: alert zijn vanwege opkomende
risico, zichzelf beschermen, of zoeken naar meer informatie voor betere strategische beslissingen.
Bestuurders willen dan zeker weten dat medewerkers hun werkzaamheden uitvoeren conform het beleid
en de procedures. Vaak zien we echter dat het minimaliseren van risico’s en het voldoen aan wet- en
regelgeving wordt gedelegeerd naar uitvoerende medewerkers - zonder duidelijke en gestructureerde
monitoring op de naleving ervan. Deze verouderde manier van leiding geven, en de bijbehorende
inrichting van de governance, is niet houdbaar voor organisaties die goed willen presteren.
Efficiënte GRC-processen die ingericht zijn binnen een geïntegreerd platform vormen de basis voor
succes. Maar de meest belangrijkste succesfactor is een risicobewuste organisatiecultuur.
Hoe creëer je risicobewustzijn?
Een risicobewuste organisatiecultuur moet voldoen aan zeven voorwaarden:
1. Betrek de belanghebbenden: voer een stakeholderanalyse uit, bijvoorbeeld via workshops,
interviews of onderzoeken. Alleen dan kunnen de behoeften van de stakeholders optimaal
worden verwerkt in het GRC-programma.
2. Heldere corporate normen en waarden: stakeholders in de organisatie gaan de corporate
normen en waarden pas beleven als ze duidelijk te begrijpen en relevant zijn. Het GRCprogramma moet naadloos op andere programma’s aansluiten, en waar mogelijk daarop
aanvullen.
3. Investeer in veranderingsmanagement: de meeste organisaties investeren alleen in
trainingsprogramma’s voor de directe betrokkenen bij risico management zoals
medewerkers van juridische zaken, Internal Audit, Compliance en Risk. Om de gehele
organisatie betrokken te krijgen, dient het verander programma zich te richten op alle
medewerkers en dient er bij voorkeur ook een verband tussen prestatie en beloning te
bestaan; wie positief bijdraagt aan GRC wordt beloond, wie dat niet doet wordt gekort.
4. Effectieve communicatie: er is een goed projectplan nodig, waar interne communicatie en
training essentiële onderdelen van moeten zijn. Hierbij dient aandacht te worden gegeven
aan de communicatiedoelstellingen, de doelgroepen, strategie en een realistische
uitvoering. Dit moet worden gedragen door de “tone at the top”.
5. Optimalisatie van gebruikersbeleving: gebruik technologieën waarmee mensen bekend zijn
en die ze leuk vinden, bijvoorbeeld gaming-technologie. Deze verhogen het bewustzijn en de
acceptatie en kunnen bijdragen aan een ethischer, verantwoordere en een meer
risicobewuste cultuur. We gaan hier verder op door in de paragraaf over tools.
6. Creëer een collectief: de goede invulling van GRC wordt bevorderd door een collectief te
creëren waar ervaringen, informatie en inzichten worden gedeeld. Dit kan silo’s doorbreken
en de samenwerking stimuleren en verbeteren. Er moet een gevoel ontstaan van “dit is onze
manier van werken”.
7. Zorg voor continuïteit: cultuurprogramma’s kennen een lange doorlooptijd, waardoor het
enthousiasme en de energie weleens verloren dreigen te gaan. Continuïteit kan worden
bereikt door een goede mix van beloningen, monitoring en corrigerende maatregelen, die
optimale realisatie bewerkstelligen van naleving met wet- en regelgeving, bedrijfsbeleid,
procedures en handhaving van normen en waarden.
Schematisch:
Betrek de
belanghebbenden
Zorg voor
continuïteit
Creëer een
collectief
Heldere normen
en waarden
Risico
bewustzijn
Optimalisatie
gebruikersbeleving
Investeer in
verandering
management
Effectieve
communicatie
Figuur 2. De elementen van risicobewustzijn
Vergeet vooral de voorkant niet
Hoe brengen vooruitstrevende bedrijven gebruikersbetrokkenheid naar een hoger niveau? Ze kijken
vooral naar de rol en ervaringen van deze gebruikers. De huidige medewerkers zijn mobiel, werken meer
samen en zijn minder gebonden aan vaste werkuren – ze werken dus in de digitale geschakelde
economie. Het GRC-programma moet daar zoveel mogelijk op inspelen, met als doel de moeilijkste of
saaiste taak leuker te maken met een aantrekkelijke - hippe en trendy - tool. Door geavanceerde en fris
uitziende dashboards, sociale platformen en video’s wordt GRC veel toegankelijker en komt het
onderwerp dichter bij de medewerker te staan.
Het gaat hierbij niet per se om toepassing van de nieuwste meest vooruitstrevende technologie, maar
om de integratie van nieuwe tools met al bestaande toepassingen om oplossingen te bieden waar
werknemers graag mee werken. Traditioneel focussen veel toepassingen zich op het beheersen van de
achterkant van GRC complexiteit maar wordt de voorkant vergeten. Het verbeteren van
gebruikerservaringen door middel van interfaces, gebruik van social media en consumeratie van IT op de
werkvloer biedt echter een veel groter verbeteringspotentieel.
Tools die de gebruiker aanspreken
In de praktijk zien we verschillende tools om de gebruiker te betrekken en geïnteresseerd te houden in
GRC. Een overzicht:
·
·
·
GRC-rapportages en dashboards: dashboards worden in verschillende vormen al jaren gebruikt.
Nieuw is dat gebruikers zelf op eenvoudige wijze eigen dashboards kunnen maken, op basis van
nieuwe analysetechnologie - zoals Quick View - op datawarehouses. Hierdoor kunnen gebruikers
a la carte invulling geven aan hun eigen informatiebehoeften; het bestuur heeft bijvoorbeeld een
andere informatiebehoefte dan een proceseigenaar.
Interactieve Adobe-formulieren: Adobe-formulieren zijn een effectieve manier om met
gebruikers in contact te komen en relevante intelligente risico informatie te verkrijgen van een
grotere groep. Bovendien kunnen ze ook de bekende papierstroom rondom GRC minimaliseren,
bijvoorbeeld via digitale handtekeningen en het elektronisch opslaan van informatie.
Mobiele applicaties: er worden steeds meer mobiele GRC applicaties ontwikkeld. Ook deze
ontwikkelingen kunnen worden meegenomen in de GRC-tooling, zowel voor wat betreft de
inhoudelijke, de communicatieve als ook de sociale aspecten.
Voorbeelden van tools die hoog scoren in diverse ranglijsten zijn GRC cloud, QHSE Risk & Compliance
software, Euphor, Templafy etc5.
Afbeelding 1: mobile GRC software
5 http://www.capterra.com/compliance-software/
Meer rendement met GRC
De vraag is natuurlijk ook: wat is de business case voor het uitvoeren van GRC-projecten? GRCimplementaties omvatten de soms substantiële kosten van aanschaf van software, hardware, het
organiseren van onderhoud, implementatie en support. Welke opbrengsten staan daar dan tegenover?
·
·
·
Operationele efficiency: de inzet van een gemeenschappelijke, geïntegreerde en door
gebruikers geaccepteerde GRC-aanpak maakt het mogelijk om processen samen te voegen,
doublures in risicomanagement te elimineren en ook wordt het een stuk eenvoudiger, effectiever
en efficiënter om relevante informatie te absorberen;
Risicoreductie: door het simpeler en inzichtelijker maken van processen en risico’s op
verschillende niveaus binnen de organisatie, wordt het risicoprofiel van de organisatie verlaagt.
Bijkomend voordeel is het mogelijk reduceren van interne en externe auditkosten, terwijl de kans
op boetes van toezichthoudende instanties wordt verkleind. Indirecte voordelen uiten zich in
lagere verzekeringspremies en kapitaalkosten; en
Business performance: in een meer risicobewuste cultuur worden beslissingen over (des)
investeringen, productiviteit, samenwerkingsverbanden, fusies en overnames genomen op basis
van de informatie die er echt toe doet. Ook leiden ze daardoor tot betere financiële en
operationele performance.
Samenvatting en conclusie
In dit artikel zijn we ingegaan op het belang van goed risicomanagement, het kweken van een
risicobewuste cultuur en de rol van GRC hierin. Gesteld is dat GRC positief bijdraagt aan het concurrentie
vermogen en het rendement van de organisatie. Het gaat daarbij vooral om het creëren van een cultuur
waar mensen de juiste dingen doen op het juiste moment. Ook en vooral voor vastgoedorganisaties is dit
zeer relevant, mede vanwege alle incidenten van de afgelopen jaren en het daarmee geslonken imago
van – en - vertrouwen in de sector.
Het gaat er dus om de mensen aan boord te krijgen. Dat bewerkstellig je niet alleen met de goede
inrichting van processen en beheersmaatregelen. Alle lagen van de organisatie moeten betrokken
worden en zich vooral ook betrokken voelen. Het gaat er daarbij om een risico bewuste cultuur te
kweken en de gebruikerservaringen met GRC te verbeteren met behulp van de inzet van gedrag
beïnvloedende technieken en de juiste technologie. Dat moet vooral technologie zijn waar mensen graag
mee werken; hip en trendy, gebruikersvriendelijk en inzichtelijk. Betrek dus de gebruiker bij GRC op een
manier die hem aanspreekt!
Related documents
Nieuwe website azM - Patientveiligheid.org
Nieuwe website azM - Patientveiligheid.org
Wat is er veranderd ten opzichte van de vorige code?
Wat is er veranderd ten opzichte van de vorige code?
PwC - Tilburg University
PwC - Tilburg University
De Raadgevers Bedrijfsjuristen
De Raadgevers Bedrijfsjuristen
Doelbewust managen is ook omgaan met risico`s
Doelbewust managen is ook omgaan met risico`s
Lancering Riskvalues op 1 september 2016,
Lancering Riskvalues op 1 september 2016,
Van Denken naar Doen
Van Denken naar Doen
Risicocultuur - Accent Organisatie Advies
Risicocultuur - Accent Organisatie Advies
grip op de organisatie = inzicht in de verschillen tussen
grip op de organisatie = inzicht in de verschillen tussen
Gedrag en cultuur in compliancemanagementsystemen
Gedrag en cultuur in compliancemanagementsystemen
Download
advertisement