Crisis in uw control framework
Hoewel de eerste geluiden over het nieuwe Corona virus in China al in januari/februari de media bereikten, heeft de snelheid waarmee de crisis over Nederland heen spoelde ons allemaal toch wel verrast.
Zonder voorbij te willen gaan aan de ellende die het heeft opgeleverd, was het wel meteen een goede live-test of onze noodplannen, het business continuity management en onze organisaties voldoende waren voorbereid op een plotseling noodscenario van deze ongekende omvang. In dit artikel wil ik kort stil staan bij een verandering in uw risicoprofiel die wellicht minder in het oog springt.
Veranderend risicoprofiel
De risicoverhoudingen van uw organisatie zijn door de crisis waarschijnlijk veranderd. Sommige risico’s zijn toegenomen en raken waarschijnlijk de risk appetite limieten. Zo hebben veel pensioenfondsen en verzekeraars direct forse verliezen moeten nemen op de beleggingsportefeuille. De indirecte gevolgen op de waarde van vermogenscomponenten zoals vastgoed, hypotheken, private leningen en tegenpartij-exposures zullen de komende tijd nog moeten blijken. Voor verzekeraars geldt dat sommige schaderisico’s (zoals reisverzekeringen) zijn toegenomen, terwijl de crisis op andere risico’s (zoals autoschades) wellicht juist een positieve impact hebben. Door de aandacht voor de financiële risico’s is de impact voor de niet-financiële risico’s wellicht wat onderbelicht. Als interne auditors willen ook daar aandacht voor vragen.
Waar zijn de controls gebleven ?
Iedere organisatie heeft zijn control framework en beheersmaatregelen op een bepaalde manier ingericht, variërend van redelijk informeel tot juist sterk geformaliseerd. Voor veel organisaties zal gelden dat bij de plotselinge verplaatsing van de werkplek op kantoor naar thuis een aantal controls niet langer kunnen worden uitgevoerd. Denk daarbij aan beheersmaatregelen met een fysieke handtekening, vier-ogen principes, formele overleggen en aanwezigheidsregistraties. Wellicht heeft u ook enkele ‘harde’ controls tijdelijk buiten werking moeten stellen, bijvoorbeeld op het gebied van ICT. Misschien zijn er (al dan niet tijdelijk) ook extra ICT-rechten toegekend om efficiënt werken mogelijk te maken. Misschien blijkt overigens ook dat eerdere controls met voortschrijdend inzicht ook niet meer zo noodzakelijk zijn.
Iedereen thuis !
Waar bedrijven zich hadden voorbereid op misschien wel 50% thuiswerkers bij calamiteiten, zijn de kantoorgebouwen van vrijwel alle verzekeraars leeg en werkt iedereen thuis. Een fantastisch knappe prestatie van de ICT-afdelingen (en serviceproviders). Maar met de technische faciliteiten voor thuiswerken begint het volgende deel van de klus. Het zijn namelijk niet alleen de hard controls die veranderen. Het gebrek aan collega’s om je heen, even met elkaar meekijken, het ontbreken van toezicht of misschien wel omgekeerd een manager die moeite heeft met het loslaten van controle. De manier van samenwerken is veranderd en Teams, Zoom of Houseparty zijn geen vervanging van normaal ‘fysiek’ contact.
Volgende fase
De eerste fase van de crisis was best spannend. Een crisis brengt het beste naar boven, energie, begrip, een stapje extra enzovoort. Maar we zijn langzaam bezig in een nieuwe fase te komen. De tegenreactie op de extra energie van de eerste maand is irritatie en vermoeidheid. Het is concurreren om aandacht en een gebrek aan waardering voelen. Er komt steeds minder begrip voor bepaalde keuzes. Kortom de energie vloeit op enig moment weer weg. Als organisaties in deze fase ook de controls weer gaan versterken, wordt dat wellicht gezien als verlies van de ontvangen autonomie.
Wat kan de interne auditor voor u betekenen ?
Op enig moment zal de organisatie weer terug moeten naar een situatie van aantoonbaar beheerste processen, ook als het thuiswerken nog enige tijd aanhoudt. Ook moeten organisaties zich ervan bewust zijn dat risico’s gaan toenemen als de verbondenheid en de energie gaan afnemen. Dit vergt niet alleen een instrumentele aanpak (bijvoorbeeld ‘aantoonbaarheid van controls’), maar ook een verstandige visie op gedrag en cultuur. Alleen dan kunt u een nieuwe optimale balans tussen soft controls en hard controls realiseren die ook draagvlak heeft onder uw medewerkers.
Wat kan InAudit voor u betekenen ?
Met twee ervaren psychologen in dienst kan InAudit u helpen. Wij hebben de methoden en technieken in huis om, ook in een thuiswerksituatie, een objectief beeld te schetsen van uw ‘soft control’ omgeving en de mate waarin uw mensen zich verbonden voelen en invulling geven aan hun verantwoordelijkheid. Hierbij kunnen we u tegelijk adviseren over hoe om te gaan met de beperkingen van de hard controls in het kader van beheersing maar ook de psychologische impact van veranderingen, zodra de business controls weer worden hersteld.
Het doel is immers een beheerst en integer internal control framework waar iedereen ook achter staat.
Wilt meer weten ?
Neem dan contact op met Ronald van de Langenberg RA, directeur van InAudit BV
Wij zijn te bereiken op 055 – 578 2921 of per email: ronald.vandelangenberg@inaudit.nl
