Edward Roozenburg: Een slank control framework

28 maart 2023

Door Edward Roozenburg, Senior Risk Management Consultant, Probability & Partners

Ik houd van eenvoudige dashboards. In één oogopslag zien waar de organisatie een risico loopt of waar een beheersmaatregel hapert. Wie wil dat nou niet?

Veel organisaties hebben zo’n dashboard. De basis hiervoor is vaak het control framework. Voor wie hiermee niet bekend is: een control framework is een set van maatregelen die ervoor zorgt dat organisatiedoelen worden bereikt en risico’s worden beperkt. Omdat dit belangrijke maatregelen zijn voor het succes van de organisatie, wordt de werking van deze maatregelen getest en wordt hierover gerapporteerd aan de top van de organisatie. Het framework, inclusief het testen, is belangrijk voor een goed werkende organisatie en leidt idealiter tot een mooi en eenvoudig dashboard en gerichte corrigerende acties.

Hoewel ik persoonlijk net zomin voorstander als tegenstander ben van een uitgebreid control framework, merk ik dat pensioenfondsen moeite doen om hun control framework eenvoudig te houden. Het control framework en het testen daarvan wordt namelijk vaak ervaren als een bureaucratische last. Niet alleen de uitvoering van de maatregelen zelf, maar ook het testen van de werking hiervan kost de nodige capaciteit.

Dit drukt relatief hard op de beschikbare capaciteit bij kleinere en middelgrote pensioenfondsen. Zij moeten immers dezelfde zekerheid bieden dat de processen goed lopen als hun grote zussen en broers. Deze kleinere en middelgrote fondsen hanteren dus over het algemeen een vergelijkbaar stelsel van beheersmaatregelen en testen als de grote fondsen. En dit leidt dus tot een vergelijkbaar capaciteitsbeslag als bij de grote fondsen. Zeg dat een pensioenfonds zo’n kleine driehonderd beheersmaatregelen heeft die periodiek getest moeten worden. Voor een bedrijfspensioenfonds met vijftien medewerkers (en dat komt veelvuldig voor) zijn dat dus twintig beheersmaatregelen per persoon. Deze maatregelen worden bovendien meerdere keren per jaar getest. Ik ben vanuit verschillende fondsen betrokken bij dit testwerk. Ik kan me goed voorstellen dat mijn collega’s bij deze kleinere en middelgrote fondsen moe van mij worden, als ik voor de zoveelste keer in het jaar weer bij ze binnenloop voor het testen van hun beheersmaatregelen. Hoe nuttig deze maatregelen ook zijn.

Ook aan de kant van de bestuurders kan een stelsel van honderden maatregelen lastig te doorgronden zijn. De zekerheid die een omvangrijk framework geeft, leidt tegelijkertijd tot een overzicht van enkele tientallen pagina’s met honderden beheersmaatregelen en daarachter een rode, gele of groene bol. Dit schept op het eerste gezicht niet heel erg veel duidelijkheid. Geen wonder dat ik soms een glazige blik terugkrijg als ik netjes mijn werkje met rode, gele en groene bollen heb aangeleverd. Ook de omvorming van de lijst van honderden gekleurde bollen naar een samenvattend dashboard is niet altijd even makkelijk uit te leggen.

Als je je framework wilt vereenvoudigen, hoe doe je dat dan? Het hebben en behouden van een slank framework is niet eenvoudig. We leven in een wereld waarin financiële instellingen regelmatig te maken krijgen met nieuwe regulering. Dit leidt over het algemeen tot meer zaken waar zekerheid over moet bestaan. Denk bijvoorbeeld aan de IT-controls die De Nederlandse Bank inmiddels periodiek uitvraagt bij de pensioenfondsen. De neiging bij pensioenfondsen is vaak om deze maatregelen op te nemen in de bestaande frameworks (als ze er niet al in stonden). Dat is op zich heel nuttig gezien het belang van de IT voor een succesvolle bedrijfsvoering, maar betekent wel opnieuw een uitbreiding van het framework.

Gelukkig zijn er enkele algemene uitgangspunten te hanteren om je framework af te slanken.

1) Een control framework is geen organisatiebrede actielijst

Als het goed is, wordt elke activiteit in de organisatie uitgevoerd ter ondersteuning van een organisatiedoel. Dat kan een legitimering zijn om elke activiteit in de organisatie in je control framework op te nemen. Met de activiteit wordt immers een organisatiedoel geborgd.

Maar… niet elke activiteit met een organisatiedoel is ook een noodzakelijke beheersmaatregel voor het control framework. Over de juiste uitvoering van de meeste reguliere activiteiten wordt (als het goed is) ook al op andere plekken in de organisatie gerapporteerd. Bijvoorbeeld in periodieke afdelingsrapportages aan bestuur of directie. Wees er scherp op dat de rapportage over het control framework geen verantwoordingsrapportage wordt over de uitvoering van reguliere activiteiten.

2) Schrap het testen van flankerende beheersmaatregelen

In de processen van pensioenfondsen worden gegevens verwerkt tot een ‘outcome’: in dit geval de betaling van een pensioenverplichting. Beheersmaatregelen bij dergelijke gegevensverwerkende processen richten zich grofweg op drie aspecten: 1. de juiste invoer van gegevens, 2. de juiste verwerking van deze gegevens en 3. de juiste uitkomsten van de processen die worden doorlopen.

Als de beheersmaatregelen getest worden die grip houden op een juiste uitkomst van het proces, en als zowel de beheersmaatregel als de test ervan geen fouten laten zien, dan ligt het voor de hand dat ook de beheersmaatregelen op de invoer en de verwerking voldoende hebben gewerkt. Het testen van deze flankerende beheersmaatregelen op invoer en verwerking is dan minder noodzakelijk.

3) Kijk welke processen je kan automatiseren

Geautomatiseerde processen kunnen voorzien worden van geautomatiseerde beheersmaatregelen. Het kost minder capaciteit om de werking hiervan te testen.

4) Bouw op en bouw af

Als uit testen blijkt dat beheersmaatregelen meerdere kwartalen goed hebben gewerkt, overweeg dan of je de intensiteit van het testen kan verminderen. Als er geen wijzigingen zijn in de processen of in de personen die het proces uitvoeren, zijn er geen redenen om een ingrijpende afwijking te verwachten aan het bekende patroon. Mogelijk kan de frequentie van de test en/of het aantal samples omlaag. Laat de beheersmaatregel niet helemaal ongezien. Want je wil wel tijdig kunnen ingrijpen als ergens toch de klad in komt. Vice versa intensiveer je natuurlijk als testen negatief uitslaan.

Alle bovenstaande suggesties zijn erop gericht risicogerichter om te gaan met het control framework en het bijbehorende testwerk. Voor mijzelf en mijn risicomanager-collega’s zou het een fluitje van een cent moeten zijn om het framework met deze uitgangspunten slank te maken. Het is immers ons vak om risicogerichte afwegingen op tafel te krijgen en daarop te acteren.

Of het dan met bovenstaande tips gaat lukken? Het hangt ervan af. Als wij als risicomanagers en onze bestuurders ingehaald worden door onze natuurlijke behoefte aan zekerheid, dan niet. Alleen als we gezamenlijk wat zekerheid op willen geven, dan kan het lukken. Maar dat moet dan wel de expliciete keuze zijn van het bestuur.

Probability & Partners is een Risk Advisory Firm die geïntegreerde risicomanagement en kwantitatieve modelleringsoplossingen biedt aan de financiële sector en aan data-gedreven ondernemingen.