Control is van iedereen
Samen richting een In Control Statement (ICS) en een effectief Internal Control Framework (ICF).
De afgelopen maanden zijn er weer diverse incidenten geweest. Denk aan de fraudegevallen bij banken of de informatieveiligheid incidenten bij de overheid. Vaak gevolgd door de conclusie dat goed toezicht ontbrak. Hieruit blijkt maar weer dat een effectieve interne beheersing en interne controle functie een essentieel instrument is voor het management en het bestuur van een organisatie. Het kan de organisatie een hoop claims en boetes schelen. Natuurlijk zijn incidenten nooit in zijn geheel te voorkomen. Echter wanneer een incident plaats vindt is het belangrijk dat u kan terugvallen op een solide basis beheersing en dat u maatschappelijk kunt aantonen dat uw organisatie het belangrijk vindt om aantoonbaar In Control te zijn.
Toch zien wij dat zowel financiële instellingen als grote ministeries, gemeenten en ZBO’s worstelen met een solide basis, een effectieve interne beheersing en het aantoonbaar In Control zijn. De grote hoeveelheid nieuwe wet- en regelgeving en het vaak ad-hoc oplossen van de gevolgen van een incident trekt zijn wissel op deze organisaties. Het maakt dat onderwerpen als een In Control Statement, risico management, interne controle of een rechtmatigheidsverantwoording eerder vieze dan populaire onderwerpen zijn. Ze worden gezien als een moetje vanuit de buitenwereld, de toezichthouder of de externe accountant.
Werken aan een Internal Control Framework (ICF)
Er zijn ook hoopvolle initiatieven. Organisaties werken aan de lading door risicomanagement om te turnen naar succesmanagement of waardemanagement. Bij de interne controle en compliance is er steeds meer aandacht voor zaken als soft controls. Ook zijn er organisaties die de verantwoordingsplicht of een rechtmatigheidsverantwoording aanpakken om met de organisatie in gesprek te gaan over een organisatie breed In Control Statement. Deze organisaties werken aan een internal control framework waarbij ook onderwerpen worden meegenomen die de business als belangrijk ervaart. Een groot voordeel is dat bij de ontwikkeling van een Internal Control Framework (ICF) het bestuur eindverantwoordelijk is voor het afgeven van een dergelijk In Control Statement (ICS) (rechtmatigheidsverantwoording). Hierdoor neemt de accountability toe, net als draagvlak en de juiste tone at the top.
Het in control zijn van de organisatie is van iedereen
Overgaan tot een ICS de implementatie van een ICF en een dergelijke brede verantwoording biedt mogelijkheden om zowel de focus te leggen op dat wat de organisatie belangrijk vindt en wat vanuit wet- en regelgeving verplicht is. Denk hier bijvoorbeeld aan onderwerpen als de AVG, informatieveiligheid, rechtmatigheid, fraude, maar ook kwaliteit of imago. Dit draagt zorg voor meer synergie binnen de organisatie en voorkomt dat het in control zijn van de organisatie een feestje is van financiën of compliance. Het in control zijn van de organisatie is immers van iedereen en essentieel voor het succesvol functioneren van de organisatie. Hoe dit te bereiken:
- Een In Control Statement (ICS) en het bijbehorende Internal Control Framework (ICF) is van iedereen. Betrek nadrukkelijk de business bij het opstellen en de periodieke evaluatie van resultaten.
- Een In Control Statement vraagt om het effectief ondersteunen van de governance van de organisatie. Veel verschillende partijen en functionarissen leveren hun bijdragen aan dit statement of compliance. Het centraal inzicht hebben en kunnen sturen op resultaat en het decentraal kunnen beleggen van activiteiten en monitoren van de voortgang is essentieel.
- Een In Control Statement vraagt om een integrale informatievoorziening. Het bestuur is verantwoordelijk en wilt middels één integraal totaaloverzicht zien hoe het gaat met het in control zijn op de diverse onderwerpen en disciplines binnen de organisatie. Denk hier aan GRC, risicomanagement, interne controle en ISMS onderwerpen als privacy (AVG) en informatieveiligheid, incidenten, fraude, het behalen van organisatiedoelstellingen en rechtmatigheid. Excel-eilanden kunnen echt niet meer.
- Fouten maken mag. Focus als organisatie niet alleen op de incidenten en bevindingen, maar rapporteer ook over de acties en verbeteringen. Het In Control zijn van de organisatie moet gezien worden als een bron van waarde.
Wilt u meer weten over onze visie op Control of zien wat het Key Control Dashboard voor u als organisatie kan betekenen m.b.t de implementatie van een In Control Statement (ICS) en Internal Control Framework (ICF) neem dan gerust contact met ons op.