3 stappen naar geïntegreerd risicomanagement in het primaire proces
Het beheersen van processen is van oudsher het primaat van riskmanagement en internal audit. Op basis van periodieke analyses brengen die afdelingen procesafwijkingen zo veel mogelijk in kaart om vervolgens de benodigde maatregelen tot verbetering te nemen. In situaties waarin grote hoeveelheden transacties worden verwerkt, kan de financiële schade als gevolg van foute registraties dan nog altijd zeer aanzienlijk zijn. “Veel CFO’s accepteren dergelijke tegenvallers als een onvermijdelijk gegeven”, zegt Marco de Jong, senior manager Risk Services bij Ernst & Young. “Aan structurele oplossingen komt men niet toe en dat is jammer, want bijdragen aan een groter vertrouwen van stakeholders doet het bepaald niet.” De Jong wijst erop dat de nieuwste IT-techniek het, anders dan voorheen, inmiddels wel mogelijk maakt om processen op grote schaal te monitoren. Een bijkomend voordeel is volgens hem dat deze monitoring plaatsvindt in het primaire proces, waarmee het operationeel management de zeggenschap over de beheersing van zijn eigen processen terugkrijgt.PRESTATIEMANAGEMENT“Dat is ook goed nieuws voor CFO’s”, benadrukt De Jong. “Uit het onderzoek The DNA of the CFO van Ernst & Young uit 2010 blijkt dat CFO’s in hun onderneming een leidende rol vervullen op het gebied van prestatiemanagement en daarvoor in toenemende mate operationele verantwoordelijkheden op zich nemen. De CFO’s van Shell en de Britse verzekeraar Aviva bijvoorbeeld zijn binnen hun onderneming tegenwoordig eveneens eindverantwoordelijk voor de IT-functie.” Uit genoemd onderzoek blijkt tevens dat CFO’s kostenbeheersing nog altijd als topprioriteit zien, op de voet gevolgd door risicomanagement. Die combinatie creëert volgens De Jong een klimaat waarin de nieuwste methode van procesbeheersing uitstekend gedijt. “Bovendien komt daarbij niet alleen het operationeel management volledig aan zijn trekken, maar ook internal audit en risk management & compliance.”CPMDe techniek die het continu analyseren van processen mogelijk maakt, continuous process monitoring (CPM), gaat uit van geïntegreerd risicomanagement. “Dat betekent dat er niet langer sprake is van los van elkaar functionerende silo’s, maar van een nauwe samenwerking tussen de betrokken partijen”, aldus De Jong. “Met elkaar benutten zij CPM om tekortkomingen in processen te detecteren, op te volgen en de voortgang te monitoren.” CPM maakt in de praktijk gebruik van soortgelijke data-analyses als internal audit periodiek verricht. Op basis van reeds bekende incidenten worden business rules gedefinieerd die bepalen welke waarden buiten een bepaalde tolerantie vallen, waarmee ze als uitzondering worden aangemerkt. Het proces omvat drie stappen. 1. Diagnose. CPM signaleert alle uitzonderingen vroeg in de keten: kort na het moment dat een transactie wordt ingevoerd. Handmatige controles, die volgens De Jong vaak alleen maar schijnveiligheid bieden, behoren tot het verleden. 2. Opvolging. De gerapporteerde uitzondering gaat terug naar een medewerker, die kan beoordelen of de vastgestelde uitzondering ook daadwerkelijk een fout is. De medewerker neemt vervolgens de noodzakelijke maatregelen aan de bron. 3. Borging. Op basis van de opvolging van uitzonderingen is riskmanagement in staat op strategisch niveau bestaande business rules aan te scherpen en nieuwe te definiëren. Ook kan men risicogewichten aan uitzonderingen toekennen, waarmee het geheel aan tekortkomingen in een bepaalde prioriteitsvolgorde kan worden aangepakt. REGELGEVINGVolgens De Jong is CPM vooral goed inzetbaar voor organisaties die werken met omvangrijke hoeveelheden data, zoals financiële instellingen en bedrijven in de telecom- en energiesector. In het specifieke geval van bancaire instellingen en pensioen- en levensverzekeraars stelt regelgeving (Basel III en Solvency II) bovendien voorwaarden aan de kwaliteit van de transactieverwerking. “De kwaliteit van de data die zij invoeren in modellen voor de berekening van hun toekomstige kapitaalbehoefte is natuurlijk cruciaal. Met CPM heb je een uitermate bruikbaar instrument voor het monitoren van datakwaliteit in handen”, zegt De Jong. __________________________________________________________________________________Cursus In control met RisicomanagementTijdens deze dag leert u alles over risico’s en de vaak desastreuze gevolgen van verkeerde inschattingen. U krijgt inzichten om een robuust raamwerk te bouwen, flaters te voorkomen en risicomanagement te integreren in uw organisatie. Lees meer…__________________________________________________________________________________“CPM is daarnaast een uiterst nuttig instrument in bijzondere situaties, bijvoorbeeld als er sprake is van integratie of conversie van verschillende systemen. Het is modulair en schaalbaar en kan overweg met alle gangbare databasesystemen.” De Jong noemt een praktijkvoorbeeld van de inzet van CPM bij een grote Nederlandse financiële instelling. Deze wilde in verband met de integratie tot een shared service centre meer greep krijgen op het excassoproces. De Jong: “Juist tijdens een integratieproces doen zich onderling verschillende en onvolledige registraties voor, waardoor gemakkelijk situaties kunnen ontstaan waarin sprake is van dubbele betalingen of zelfs fraude. In de oude situatie werd elk excasso-onderdeel van de financiële instelling halfjaarlijks door internal audit geconfronteerd met een waslijst aan fouten. Sommige konden worden hersteld, maar voor een grote hoeveelheid lukte dat niet meer. Na de implementatie van CPM slaagde de instelling erin de operationele risico’s onder controle te krijgen. Nu er voldoende ervaring is in het werken met CPM, durft het management de stelling aan dat het uitgaande betalingsverkeer juist, tijdig en volledig is.”