Omdat we tegenwoordig vaker en gemakkelijker ons werk op afstand kunnen uitvoeren, zien we dat ook steeds vaker terug in het audit proces. Daarbij wordt «Remote Auditing», het op afstand afnemen van audits, steeds aantrekkelijker. Digitale beheersystemen kunnen auditors de externe toegang geven die ze nodig hebben, en videobellen biedt flexibiliteit wanneer de benodigde interviews afgenomen dienen te worden. Remote audits besparen tijd en geld en zijn minstens net zo effectief als een audit op locatie. Het levert daarnaast een belangrijke bijdrage aan een efficiënt verloop van een audit of het certificeringsproces. Hierna ga ik in op een aantal voor- en nadelen van remote audits, zodat u zelf kunt bepalen of u met uw eigen organisatie ook mee kunt gaan met deze nieuwe trend. Continue reading…

Bij artikelen over effectief risicomanagement gaat het vaak over meer risicobewustzijn, cultuur en de ‘tone at the top’. De concepten en gedachten zijn niet verkeerd, maar ik heb ze zelden zien bijdragen aan meer effectief risicomanagement. Te abstract en te hoog over zonder concrete handvatten. Effectief risicomanagement begint met het risico-eigenaarschap. Als duidelijk is wie verantwoordelijk is voor een risico, dient de volgende vraag zich aan: «Hoe beheers ik een risico effectief?» Om een risico effectief te beheersen, moet eerst duidelijk zijn wat het risico is. In de praktijk zie ik allerlei risico’s benoemd, met daarop beheersmaatregelen. Neem als voorbeeld het frauderisico. Als maatregel wordt hier vaak het vier ogen principe genoemd. Maar is dat een effectieve maatregel? De afgelopen maanden zijn er weer diverse fraudes naar voren gekomen zoals bij Stadgenoten en Vestia, ondanks vier ogen principes. Ook CEO fraude en data manipulatie komen regelmatig voor. Hoe kan zo’n frauderisico nou effectiever worden beheerst? Continue reading…

Veel organisaties in het publieke domein zoals gemeenten en provincies hebben deelnemingen in bedrijven (bijvoorbeeld afvalverwerkingsbedrijf, sociaal werkbedrijf) of hebben een relatie met een zogeheten verbonden partij (bijvoorbeeld bibliotheek, schouwburg) die een financiële bijdrage of subsidie ontvangt. Nog al wat gemeenten worstelen ermee echt grip te krijgen op deze verbonden partijen. Pas na het opstellen van de jaarrekening is vaak echt duidelijk wat het financiële resultaat is bij de verschillende partijen, en als dit negatief is valt er niet zoveel meer te doen. Een gemeente kan meestal niet anders dan het tekort bijpassen, want een bibliotheek, schouwburg, afvalverwerker of veiligheidsregio laat je niet zomaar failliet gaan. Er is immers ook een wettelijke plicht of een maatschappelijk belang. Nu, in de coronacrisis, is het voor de verbonden partijen ook een moeilijke tijd. Zo komen er als voorbeeld veel minder bezoekers in de schouwburg of het theater. Ook diverse sportverenigingen, die subsidie krijgen, hebben het zwaar en stevenen af op een negatief resultaat. Hoe kun je nu tijdig signaleren hoe ernstig de situatie is om vervolgens met een partij in gesprek te gaan over oplossingsrichtingen? Allemaal om te voorkomen dat er bij het opmaken van de jaarrekening over 2021 grote verrassingen naar voren komen. Continue reading…

Hoe stop je onrechtmatige toe-eigening? Hard Controls alleen zijn onvoldoende. Werk daarom met Soft Controls aan vertrouwen. Zo was er enige tijd geleden de miljoenenfraude bij woningcorporatie Stadgenoten. Een medewerkster maakte jarenlang bedragen tot 20.000 euro over naar de rekening van haar dochter. Saillant detail is dat de corporatie deze fraude in al die jaren niet had ontdekt, ondanks alle interne controls, en dat ook de accountant de fraude niet heeft gesignaleerd. Het was de bank die deze vreemde geldstroom op het spoor kwam. Fraude is een echte nachtmerrie voor iedere controller en CFO. Dat bleek toen ik afgelopen week diverse telefoontjes kreeg van CFO’s en controllers die een digitale frauderisico-analyse wilden om te checken in hoeverre hun organisatie risico loopt op diverse fraude parameters. Stadgenoten maakte er weer even een hot topic van. Vanuit risicomanagement zijn er allemaal mooie modellen over frauderisico’s en hoe je deze kunt beheersen met harde controlemaatregelen. Maar toch komt fraude – of eigenlijk gaat het in bredere zin om onrechtmatige toe-eigening van geld – nog regelmatig voor. Zijn ze dan wel effectief genoeg?  Continue reading…

Met de komst van het corona virus zijn er al honderden bedrijven die werktijdverkorting hebben aangevraagd. Veel bedrijven lijden onder dit externe risico dat opeens om de hoek komt kijken. In de 25 jaren die ik me met risicomanagement bezighoud, zie ik de aandacht voor risicomanagement enorm groeien. Dit heeft geleid tot veel aandacht voor beheersing van risico’s. Vooral risico’s met een interne oorzaak worden nu beter beheerst. In de top tien Global Risks die Aon naar buiten bracht, zie je dat het aandeel risico’s met een externe oorzaak is gegroeid. Een virus stond daar overigens nog niet bij, maar dat zal in de toekomst wel anders zijn. Door de toenemende aandacht voor de beheersing van interne risico’s, hebben organisaties die steeds beter beheerst en neemt het aandeel van interne risico’s in een top tien dus ook logischerwijze af. Daarnaast wordt de wereld steeds complexer en afhankelijker, waardoor de externe risico’s toenemen: virussen, cyberrisico’s, dynamische marktontwikkelingen, politieke risico’s, noem maar op. Continue reading…

Eigenaar zijn van risico heeft juist toegevoegde waarde: het vergroot de kans op succes. In veel organisaties waar ik kom, en zeker in de publieke sector, is vaak onduidelijkheid over wie nou verantwoordelijk is voor een risico en voor risicomanagement. Veelal is het een ‘feestje’ van de controller. Maar het eigenaarschap van risico’s is geenszins een feestje. Daarom staan veel managers waarschijnlijk ook niet te popelen om als eigenaar te worden aangemerkt. Want stel je voor dat het mis gaat… Wat veel managers zich niet realiseren is dat het managen van risico’s hen juist helpt om succesvol te zijn. Want als het eigenaarschap van een risico tussen wal en schip valt, weet je zeker dat er niets met het risico gebeurt en is het risico per definitie groter. De laatste tijd merk ik steeds vaker dat er nog heel veel onduidelijkheden zijn over wat nu een risico is en wie wat moet doen. Daarom ga ik hieronder nader in op de ‘essentials’ van risicomanagement. Continue reading…

Recent heeft het Institute of Internal Auditors hun 3 Lines of Defence Model aangepast. Niet alleen is in de naam het woord ‘Defence’ verdwenen, maar ook de positie van risicomanagement is explicieter geworden. Vooral voor de eerste lijn is het nu heel duidelijk: zij zijn verantwoordelijk voor de identificatie van risico’s en het beheersen ervan. De tweede lijn heeft een ondersteunende en adviserende rol in complexe situaties. Een mooie aanleiding om nog eens stil te staan bij effectief risicomanagement. Vanuit de praktijk zijn er een drie rode draden die iedere keer weer naar voren komen wanneer risicomanagement niet effectief blijkt te zijn en dat is het geval bij «zwevende risico’s», geen risico-eigenaarschap en geen aanspreekcultuur.  Continue reading…

Dit is mijn allereerste blog voor het Risk & Compliance Platform Europe en ik begin graag met de piramide van Maslow die iedereen wel kent. Eerst moeten we onze basisbehoeften bevredigen zoals eten en drinken. Daarna willen we bestaanszekerheid met een warm dak boven ons hoofd en een sociale omgeving waarin we ons prettig voelen. Allemaal fases die voorafgaan aan zelfontplooiing en geluk. De gedachte achter de piramide is dat voedsel het allerbelangrijkste is. Als we niet eten en drinken gaan we immers dood, van slapen op straat echter nog niet direct. Dit past bij het beeld van een zwerver die elke dag op zoek is naar eten en daarna onder een brug slaapt. Maar voor het gros van de mensen in onze moderne samenleving geldt deze piramide niet meer. Onze primaire fysieke behoeften worden immers vervult vanuit onze bestaanszekerheid. In de moderne wereld is de afhankelijkheid van het inkomen groot geworden. Alles draait om geld en is met geld te koop. En dat betekent dat als er geen geld meer is, we ook niet meer in staat zijn om ons leven op een andere manier in te richten zoals bijvoorbeeld een zelfvoorzienende kluizenaar die zijn eigen groente verbouwt. Daarmee zijn de fysieke behoeften direct gekoppeld aan onze bestaanszekerheid. Daarom vinden we het ook zo belangrijk dat bijna twee miljoen mensen in Nederland met behulp van de overheid hun baan behouden. Onze hele samenleving is afhankelijk geworden van geld. Veel mensen in onze steden hebben geen mogelijkheid om zelf hun eten te verbouwen.  Continue reading…