Het belang van controle in een veranderende risico-omgeving

Interne beheersing vitale processen

Covid-19 heeft grote impact op de manier waarop organisaties werkzaamheden uitvoeren. Sommige organisaties zitten in een overlevingsmodus, terwijl andere organisaties alle zeilen moeten bijzetten om de marktvraag aan te kunnen. Onder deze omstandigheden is het begrijpelijk dat organisaties zich richten op vitale processen en werkzaamheden die direct gekoppeld zijn aan hun core business. Risicomanagement en interne beheersing spelen een grote rol bij het beschermen van vitale processen en informatie, maar om snel te kunnen handelen - bijvoorbeeld om uitstaande vorderingen te kunnen innen of uitgebreide rechten te geven aan backup personeel als mitigerende maatregel bij ziekte - heeft het management soms keuzes te maken waarbij de interne beheersing op het tweede plan kan komen. Wanneer de organisatie uit de crisismodus begint te raken, is het noodzakelijk kritisch te kijken naar de genomen maatregelen.

Herevalueren van risico’s

Door de impact van Covid-19 en de verregaande maatregelen die overheden hebben geïmplementeerd, is het risicolandschap drastisch veranderd. Bepaalde risico’s vallen weg, andere ontstaan of nemen toe. Organisaties ervaren onder meer de volgende belangrijke risico's:

• Toenemend risico van uitval onder werknemers.
• Liquiditeitsrisico’s in de eigen organisatie of bij leveranciers en klanten.
• Beschikbaar zijn van IT-systemen om thuis te werken;
• Disruptie van leveringsketens (wegvallen van organisaties in de keten).
• Operationele werkzaamheden, zoals inbreuken op de beveiliging, fraude, managementbesluiten op basis van incorrecte of incomplete data en compliance met wetgeving als SOx, Wbni en de AVG.

Het uitvoeren van een tijdig en effectief risico-assessment is van belang. Een gedegen analyse moet inzicht geven in de doeltreffendheid  van het bestaande interne beheersingsraamwerk. Mogelijk is er meer aandacht nodig voor de liquiditeitsposities van klanten, om te bepalen of er op rekening kan worden verkocht. Of interne aandacht op het gebied van security en privacy, nu er door de nieuwe manier van werken meer druk komt op het gebruik van het bedrijfsnetwerk.  

Belangrijke vragen voor organisaties:

• Zijn risicoprioriteiten in kaart gebracht, inclusief de te nemen risicorespons om deze risico’s te adresseren?
• Bestaat er een afhankelijkheid van kernmedewerkers en is er binnen deze context sprake van ‘contingency’?
• Welke leveranciers (en onderaannemers) resulteren in afhankelijkheden, en hoe borgen we de continuïteit binnen deze context?
• Bestaat er een ander risico omdat personeel veelal thuiswerkt? 

Prioriteiten en compenserende maatregelen

Covid-19 heeft ertoe bijgedragen dat organisaties zich realiseren dat zij niet voldoende voorbereid zijn op onverwachte omstandigheden. Continuïteitsplannen zijn in bepaalde gevallen niet geactualiseerd of niet getest, procedures kloppen niet meer of procedures worden niet altijd gevolgd. De manier waarop interne beheersing wordt vormgegeven in crisistijd is aan verandering onderhevig. Zo worden er minder handmatige (fysieke) controles uitgevoerd en zal digitalisering in grotere mate nodig zijn, zeker omdat personeel grotendeels vanuit huis werkt.

Belangrijke vragen voor organisaties:

• Stelt de organisatie de juiste prioriteiten bij het uitvoeren van de werkzaamheden in verhouding tot de beschikbaarheid van personeel?
• Zijn ‘internal control teams’ zich bewust van de belangrijkste prioriteiten?
• Welke controls kunnen we niet uitvoeren omdat personeel druk is met andere werkzaamheden of omdat we deze niet vanuit huis kunnen uitvoeren?
• Welke compenserende of mitigerende maatregelen moeten we uitvoeren?

IT-management onder druk

Door de nieuwe manier van werken staat IT bij veel organisaties onder druk. Er wordt momenteel veel gevraagd van de IT-afdeling en de IT-infrastructuur omdat medewerkers op afstand werken. Niet alle organisaties zijn hierop ingericht.  IT-management moet alle zeilen bijzetten om te voldoen aan de hogere capaciteitseisen van de organisatie, wat kan leiden tot risico’s omtrent security, beschikbaarheid en privacy. 

Belangrijke vragen voor organisaties:

• Welke IT-leveranciers of softwareleveranciers kunnen potentieel omvallen en hebben we een goed alternatief?
• Op welke wijze kunnen we balans aanbrengen om de effectiviteit en de continuïteit van systemen te borgen?
• Welke impact heeft de uitval van IT-systemen in crisistijd?
• Is onze interne beheersing voldoende gericht op de nieuwe manier van werken?

Betrouwbare data-inzichten

Veel organisaties hebben moeite juiste (tijdige en accurate) inzichten te verkrijgen uit data. Dit komt onder meer door:

• Veranderende data voor managementinformatie. Denk aan organisaties die van een wekelijkse urenregistratie naar een dagelijkse registratie gaan en het feit dat liquiditeitsmodellen gericht zijn op historische gegevens terwijl de betaalgeschiedenis niet langer als de belangrijkste factor wordt aangemerkt als de vraag dermate wegvalt.
• Beperkte beschikbaarheid van data-analysecapaciteit om tot belangrijke managementinformatie te komen. Denk aan de combinatie van systemen, processen en personen om de juiste inzichten te verschaffen.
• Beperkte beschikbaarheid van dashboards om real-time-inzichten transparant te maken.
• Uitdagingen omtrent de kwaliteit van data.

Er is meer dan ooit behoefte aan betrouwbare data en het snel inzichtelijk kunnen maken van managementinformatie. Dat vraagt om robuuste afspraken over hoe data worden beheerd. Gezien de beperkte resources in de huidige situatie zouden organisaties kunnen kiezen voor een pragmatische aanpak waarin zij analyseren welke data van strategisch belang zijn, waarna organisaties deze gericht beoordelen op basis van een set kwaliteitscriteria. Wanneer de data van onvoldoende kwaliteit zijn, kunnen organisaties deze in een kort tijdsbestek opschonen via tooling.

Belangrijke vragen zijn:

• In hoeverre (hoe snel en hoe betrouwbaar) kunnen we data-inzichten verzamelen om belangrijke besluitvorming te ondersteunen?
• Hoe wordt de betrouwbaarheid van data beïnvloedt door de nieuwe werkwijze?

In control zijn en blijven

De Covid-19-crisis heeft duidelijk gemaakt dat organisaties op continue basis bedrijfsrisico’s moeten evalueren. Bovendien vraagt een nieuwe wereld om een nieuwe benadering. Zaken als de betrouwbaarheid van informatie, de beschikbaarheid van werknemers en de juiste ondersteuning van processen en systemen spelen een belangrijke rol om de bedrijfscontinuïteit te borgen.

Belangrijke stappen om ‘in control’ te zijn met uw bedrijfsvoering:

• Herprioriteren van interne beheersingsactiviteiten, met focus op de belangrijkste risico’s en processen.
• Optimaliseren van data-analyse om effectief, op afstand, reviews en audits uit te voeren.
• Automatiseren van controls om het ERP-systeem en de applicaties te optimaliseren, onder meer door ‘Robotic Process Automation’ (RPA).
• Ondersteuning bij training en onboarding van medewerkers en/of het leveren van benodigde expertise.
• Innovatie door agile werkwijzen met technologieën zoals een cloudplatform dat gericht is op continue monitoring.

Lees ook:

• Maatregelen tegen de impact van het coronavirus
• Het managen van de impact van Covid-19 op cybersecurity
• Governance, Risk & Control