Bent u een organisatie van openbaar belang (OOB) of een andere ondernemingen waar een vorm van (intern of extern) toezicht aanwezig is, dan bestaat bij u wellicht de behoefte om aan te tonen dat u in control bent. Een In Control Statement (ICS) is in veel gevallen verplicht of een best practice. Dat betekent dat op onafhankelijke wijze vastgesteld moet kunnen worden dat uw organisatie in control is.
Een en ander start met een Management Control Framework. Hiermee wordt zichtbaar gemaakt wat de doelstellingen van uw organisatie zijn. COSO onderscheidt verschillende categorieën doelstellingen:
Elke categorie doelstellingen kent ook risico’s. Strategische risico’s zijn risico’s die uw onderneming belemmeren bij het realiseren van de strategische doelstellingen. Operationele risico’s zijn risico’s dat uw processen niet juist, volledig en tijdig worden uitgevoerd. Er kunnen fouten in uw rapportages ontstaan en er zijn risico’s dat u niet voldoet aan wet- en regelgeving.
Als de risico’s groter zijn dan uw risicobereidheid volgen beheersingsmaatregelen. Dat kunnen interne controles zijn. Voor externe risico’s zoals rente- en kostenstijgingen, politieke besluitvorming en andere macro-economische ontwikkelingen kunt u bijvoorbeeld scenarioplanning inzetten.
Uw belangrijkste interne controlemaatregelen, de key controls, zijn die maatregelen die effectief moeten zijn om de risico’s tot een acceptabel niveau terug te brengen. Voorbeelden zijn verschillenanalyses, general IT-controls en controles bij de periodeafsluiting. En in processen een aanbestedingsprocedure of de controle van de stamgegevens van nieuwe leveranciers.
Om aan te tonen dat deze controls effectief zijn moet u zichtbaar maken dat ze zijn uitgevoerd. De vastlegging is een van de zes W’s om key controls te omschrijven. Bij de 6 W’s wordt vastgelegd wie wat doet, wanneer, waarom, met welke informatie en met welk resultaat. Het (zichtbare) resultaat kan geaudit worden. Uit de audit blijkt of controls effectief zijn en of de conclusie kan worden getrokken dat men in control is.
Het gehele raamwerk inclusief de uitkomst van controls en audits kan vastgelegd worden in spreadsheets of word-documenten. Er bestaan ook zogenaamde grc-tools (governance-risk-compliance-tools). EBBEN heeft een groep woningcorporaties ondersteund met het compliance-vraagstuk: “Hoe laten wij zien dat wij compliant zijn met wet- en regelgeving?” Uit dit traject bleek dat corporaties moeten voldoen aan zo’n 90 wetten en regels. Van lokale bouwbesluiten tot en met de warmtewet, van de werkkostenregeling tot en met de wet op de ondernemingsraden en van regels omtrent de toewijzing van woningen tot en met de recent geactualiseerde woningwet.
Om corporaties te ondersteunen bij de selectie van een grc-systeem dat het beste past bij het beheersingsniveau, is door corporatie-experts een keuzehulp vervaardigd. Er is een aantal tools, waaronder Mavim – BDO, Naris, Wocompas van Accent en Fully in Control, tegen het licht gehouden. Vanuit verschillende criteria zijn de tools beoordeeld:
De keuzehulp maakt vanuit de eigen behoeften het selectieproces eenvoudiger.
Een van de tools is Fully in Control. De werking van deze tool is vergelijkbaar met een iPhone. Je kunt ‘kennis-App’s’ downloaden om Fully in Control effectief te laten werken. Voorbeelden hiervan zijn de Risico-inventarisatie & Evaluatie (RI&E) op het gebied van arbobeleid of een kennis-App voor de AVG. Ook voor de beheersing van frauderisico’s is een App ontwikkeld.
Door de Controllers Circle Corporaties (CCC) is met ondersteuning van EBBEN Partners een kennis-App voor woningcorporaties ontwikkeld. Met onze kennis en ervaring van de sector zijn doelstellingen op het gebied van beschikbaarheid, betaalbaarheid en kwaliteit van woningen en financiële randvoorwaarden vastgelegd. Bij de afzonderlijke doelstellingen en randvoorwaarden zijn specifieke key risks en key controls benoemd. Voor de key controls zijn auditwerkzaamheden opgenomen om de effectiviteit van de key controls te toetsen. Met deze kennis-App heeft de organisatie een vliegende start bij het invoeren van de grc-tool en kan daarmee aantonen dat zij in control is.
Wil je meer weten over de mogelijkheden van kennis-Apps of tooling opties met de expertise van EBBEN? Laten we dan een afspraak plannen.