Risicomanagement zonder beheersdoelstellingen is gedoemd te mislukken

Doelstellingenmodel als basis voor een ‘in control statement’

door drs Gerrit Goud RE RA


Waarover moet een manager verantwoording afleggen; het realiseren van doelstellingen of het managen van risico’s? Gemeentelijke organisaties zijn in het licht van de op komst zijnde rechtmatigheidsverantwoording op zoek naar een gestructureerde aanpak voor hun intern beheersingsproces waarbij de focus niet alleen gericht is op het optuigen van de verbijzonderde interne controle (VIC), maar ook op beheersing van de bedrijfsprocessen die gemanaged worden door leidinggevenden met als doel jaarlijks een ‘in control statement’ (ICS) te kunnen afgeven. Die verklaring wordt immers niet afgegeven door de VIC, maar door het management ofwel de 1e verdedigingslijn beredeneerd vanuit het three lines of defence model (3LOD).

Om een ICS te realiseren behoort de focus in eerste instantie gericht te zijn op de 1e verdedigingslijn om ervoor te zorgen dat leidinggevenden actief betrokken raken in dit proces. Daarvoor is een breed draagvlak nodig dat veelal ontbreekt omdat van oudsher de nadruk voor interne beheersing bij de VIC en de huisaccountant ligt. Om het model van 3LOD te realiseren is vooraf visie en ambitie nodig, maar ook een aanpak die helpt om deze ambities te realiseren.

Vooraf behoort duidelijk te zijn welke beheersdoelstellingen überhaupt gerealiseerd moeten worden en niet in algemene termen maar voor elk relevant bedrijfsproces. Meten is immers weten. Veelal ontbreken meetbare beheersdoelstellingen en wordt het instrument risicomanagement breed ingezet met als uitkomst vele risico’s en daaraan gerelateerde mitigerende maatregen. Echter zonder beheersdoelstellingen is het managen van (proces)risico’s doelloos en eindeloos met als uitkomst veel overhead, weinig resultaat en draagvlak bij leidinggevenden.

Effectieve benadering, tijdwinst

Onze aanpak richt zich op het eerst in beeld brengen van meetbare beheersdoelstellingen van een bedrijfsproces en deze te gaan meten. Daardoor ontstaat inzicht in hoeverre aan deze beheersdoelstellingen is voldaan en is de focus gericht op die beheersdoelstellingen waaraan niet of deels is voldaan. Daarop vindt een gerichte risicoanalyse plaats met een eventueel vervolgtraject in de vorm van verbeteringen. Beheersdoelstellingen waaraan is voldaan behoeven verder geen aandacht en dat is tijdwinst. Deze benadering van ‘management by exceptionis doeltreffend, kwalitatief verhogend en zal de interne beheersing pas echt verbeteren.

Een doelstellingenmodel is het resultaat van een gedegen inventarisatie van het betreffende bedrijfsproces (understanding the business) en een daarop gebaseerde risicoanalyse. Een doelstellingenmodel bestaat uit een samenhangende set van meetbare normen/beheersdoelen waarvan elke norm voorzien is van stuurvragen die tijdens een meting beantwoord worden met Ja, Nee, Deels of Onbekend met eventueel een toelichting hierop. Zo’n model biedt dan ook houvast (grip) en structuur voor iedereen die een rol speelt in het interne beheersingsproces. Het meten in hoeverre aan de normen is voldaan wordt gefaciliteerd via ons intern beheersingsplatform inclusief de vervolgstappen.

Positieve benadering, meer draagvlak

Door te meten is een leidinggevende tegelijk actief betrokken in het beheersingsproces volgens het 3LOD dat een essentiële voorwaarde is als een organisatie de ambitie heeft om aantoonbaar in control te zijn uitmondend in een ICS. Zoals eerder aangegeven ligt die verantwoordelijkheid nu eenmaal bij de leidinggevenden (management) en niet bij de VIC (= 3e verdedigingslijn).

Een bijkomend voordeel van het gebruik van doelstellingenmodellen is dat de acceptatiegraad onder leidinggevenden groter is vanwege de positieve invalshoek in tegenstelling tot risicomanagement dat doorgaans een negatieve invalshoek heeft (denk aan dreigingen, etc). Daar komt bij dat leidinggevenden gewend zijn om vastgestelde (beheers)doelstellingen of targets te realiseren en is het uit dien hoofde handiger om daarop zoveel mogelijk aan te sluiten.

Voor de VIC biedt het doelstellingenmodel eveneens houvast. Immers het model bevat de normen waaraan moet worden voldaan en die worden vervolgens getoetst door VIC. Dat wil niet zeggen dat alle normen getoetst hoeven te worden, maar slechts het deel dat vanuit VIC interessant is. Juist door het totaal inzicht in de set van normen is het bepalen van een keuze welke normen getoetst worden eenvoudiger en dat is tijdwinst.

De toegevoegde waarde van VIC is dat het ‘onafhankelijk’ toetst of de ingezette maatregelen gerelateerd aan de normen doeltreffend zijn en daarmee meer zekerheid biedt. Het gaat dan om de werking van deze maatregelen terwijl meten in de 1e en 2e lijn gericht is op opzet en bestaan. Tussen meten en toetsen kunnen uiteraard verschillen zitten en dat maakt het gehele interne beheersingsmodel slagvaardig.

Welke stappen?

Dit overziend betekent dat naast visie en ambitie de weg om aantoonbaar in control te raken uitmondend in een ICS begint met 

  1. het opstellen van doelstellingenmodellen voor de processen die in de scope vallen om aantoonbaar in control te geraken;
  2. het periodiek uitvoeren van metingen (1e en 2e lijn) op basis van deze modellen en te focussen op de normen waaraan niet of deels is voldaan en daarop verbetertrajecten in gang te zetten in overleg met de leidinggevende;
  3. het opstellen van een auditplan (3e lijn) voor elk relevant proces waarbij gebruik wordt gemaakt van de vooraf vastgestelde beheersdoelstellingen en dit plan uitvoeren uitmondend in een auditrapport.

Wij hebben inmiddels 10 doelstellingenmodellen in het kader van de (financiële) rechtmatigheid beschikbaar zoals de WMO, Jeugdzorg en inkoop en aanbesteding en dat aantal neemt de komende tijd alleen maar toe vanwege de toenemende behoefte en het besef dat meten op basis van beheersdoelstellingen effectief is en tot een breder draagvlak leidt.

Voor concerncontrollers die zich aan het voorbereiden zijn voor de rechtmatigheidsverantwoording 2021 biedt het gebruik van doelstellingenmodellen de mogelijkheid snel en voortvarend aan de slag te gaan. Daarmee raakt de organisatie vertrouwd met deze werkwijze en is de basis gelegd voor een ICS gebaseerd op een beheersorganisatie volgens het 3LOD model ingebed in een PDCA-cyclus. Uiteraard vergt dit tijd en niet voor niets is het advies van de VNG om nu al concrete stappen te ondernemen.

Wilt u meer weten over onze aanpak en inzet van doelstellingenmodellen in combinatie met ons intern beheersingsplatform volgen het principe van 3LOD, neem dan gerust contact met ons op.