Een slank control framework
Door Edward Roozenburg, Senior Risk Management Consultant
Ik houd van eenvoudige dashboards. In één oogopslag zien waar de organisatie een risico loopt of waar een beheersmaatregel hapert. Wie wil dat nou niet?
Veel organisaties hebben zo’n dashboard. De basis hiervoor is vaak het control framework. Voor wie hiermee niet bekend is: een control framework is een set van maatregelen die ervoor zorgt dat organisatiedoelen worden bereikt en risico’s worden beperkt. Omdat dit belangrijke maatregelen zijn voor het succes van de organisatie, wordt de werking van deze maatregelen getest en wordt hierover gerapporteerd aan de top van de organisatie. Het framework, inclusief het testen, is belangrijk voor een goed werkende organisatie en leidt idealiter tot een mooi en eenvoudig dashboard en gerichte corrigerende acties.
Hoewel ik persoonlijk net zomin voorstander als tegenstander ben van een uitgebreid control framework, merk ik dat pensioenfondsen moeite doen om hun control framework eenvoudig te houden. Het control framework en het testen daarvan wordt namelijk vaak ervaren als een bureaucratische last. Niet alleen de uitvoering van de maatregelen zelf, maar ook het testen van de werking hiervan kost de nodige capaciteit.
Dit drukt relatief hard op de beschikbare capaciteit bij kleinere en middelgrote pensioenfondsen. Zij moeten immers dezelfde zekerheid bieden dat de processen goed lopen als hun grote zussen en broers. Deze kleinere en middelgrote fondsen hanteren dus over het algemeen een vergelijkbaar stelsel van beheersmaatregelen en testen als de grote fondsen. En dit leidt dus tot een vergelijkbaar capaciteitsbeslag als bij de grote fondsen. Zeg dat een pensioenfonds zo’n kleine driehonderd beheersmaatregelen heeft die periodiek getest moeten worden. Voor een bedrijfspensioenfonds met vijftien medewerkers (en dat komt veelvuldig voor) zijn dat dus twintig beheersmaatregelen per persoon. Deze maatregelen worden bovendien meerdere keren per jaar getest. Ik ben vanuit verschillende fondsen betrokken bij dit testwerk. Ik kan me goed voorstellen dat mijn collega’s bij deze kleinere en middelgrote fondsen moe van mij worden, als ik voor de zoveelste keer in het jaar weer bij ze binnenloop voor het testen van hun beheersmaatregelen. Hoe nuttig deze maatregelen ook zijn.
Ook aan de kant van de bestuurders kan een stelsel van honderden maatregelen lastig te doorgronden zijn. De zekerheid die een omvangrijk framework geeft, leidt tegelijkertijd tot een overzicht van enkele tientallen pagina’s met honderden beheersmaatregelen en daarachter een rode, gele of groene bol. Dit schept op het eerste gezicht niet heel erg veel duidelijkheid. Geen wonder dat ik soms een glazige blik terugkrijg als ik netjes mijn werkje met rode, gele en groene bollen heb aangeleverd. Ook de omvorming van de lijst van honderden gekleurde bollen naar een samenvattend dashboard is niet altijd even makkelijk uit te leggen.
Als je je framework wilt vereenvoudigen, hoe doe je dat dan? Het hebben en behouden van een slank framework is niet eenvoudig. We leven in een wereld waarin financiële instellingen regelmatig te maken krijgen met nieuwe regulering. Dit leidt over het algemeen tot meer zaken waar zekerheid over moet bestaan. Denk bijvoorbeeld aan de IT-controls die De Nederlandse Bank inmiddels periodiek uitvraagt bij de pensioenfondsen. De neiging bij pensioenfondsen is vaak om deze maatregelen op te nemen in de bestaande frameworks (als ze er niet al in stonden). Dat is op zich heel nuttig gezien het belang van de IT voor een succesvolle bedrijfsvoering, maar betekent wel opnieuw een uitbreiding van het framework.
Gelukkig zijn er enkele algemene uitgangspunten te hanteren om je framework af te slanken.