Gedurende de Plan Do Check Act (PCDA) -cycle van een corporatie worden bij de Check fase verschillende audits en interne controles uitgevoerd. Aan het eind van het kalenderjaar worden de interne controle plannen (IC’s) opgesteld en veelal vastgesteld door de raad van commissarissen. Het is de bedoeling dat deze plannen gedurende het jaar worden uitgevoerd. Echter zijn er veel corporaties die moeite hebben om zich aan de planning van het vooraf opgestelde interne controleplan te houden. Dit komt onder andere omdat men wordt geleefd door de waan van de dag. Uiteraard is dit erg begrijpelijk maar ergens toch ook een kwalijke zaak. In gesprekken met concern controllers van verschillende corporaties wordt steeds vaker aangegeven; “Ik kan dit jaar niet weer aankomen met het verhaal dat ik niet aan uitvoering van de interne controles toekom.”
Tips voor het uitvoeren van audits en interne controles
Een aantal praktische tips voor de concern controller:
Tip 1
Zorg voor een aparte functionaris die de interne controles uitvoert of zorg voor een juiste balans. Er dient uiteraard capaciteit beschikbaar te zijn voor een aparte functionaris, die is er bij kleinere corporaties veelal niet. Naris ziet steeds vaker dat de tweede en derde lijn bij kleinere corporaties prima gecombineerd kan worden. Zorg als kleinere corporatie voor een juiste verdeling van je taken als concern controller! Bij kleinere corporaties zien wij dat de derde lijn (interne auditor/concerncontrol) de controles klaarzet en laat uitvoeren door de eerste lijn (MT). Vervolgens kan steekproefsgewijs door de derde lijn een review worden uitgevoerd op de uitgevoerde controles. Hiermee wordt gewaarborgd dat er toch een onafhankelijk oordeel kan worden gegeven. Geef hierbij wel een duidelijk format wat eenduidig kan worden ingevuld door de eerste lijn.
Tip 2
Delegeer het risicomanagement naar de eerste lijn. Neem als concern controller een meer faciliterende rol aan op het gebied van risicomanagement. Zorg dat de MT leden risicobewust zijn en proactief rapporteren over de risico’s waar zij verantwoordelijk voor zijn. Beperk je als concerncontroller tot je kerntaken en houd overzicht op het corporatie brede risicoprofiel. Laat je hierbij informeren vanuit de eerste lijn (MT). En gebruik deze informatie als input voor het interne controle plan.
Tip 3
Prioriteer de interne controles. Welke controles zijn nu echt het belangrijkste? De procesaudits waarin veel risico’s worden onderkend? Of juist de processen waar geen risico’s gezien worden? Maak een juiste afweging welke risico’s belangrijk zijn en koppel dit aan de risicobereidheid (“risk appetite”) van de corporatie.
Tip 4
Start met het uitvoeren van audits en interne controles. Een veel gehoord excuus om niet te beginnen met het uitvoeren van interne controles is dat de eerste lijn (MT) niet risicobewust is. Juist door het uitvoeren van audits kunnen bevindingen worden aangekaart en aanbevelingen worden gegeven vanuit je onafhankelijke control functie. Ga ten slotte de dialoog aan met de verantwoordelijke. Praat over de risico’s en maatregelen, in welke mate is het risico te aanvaarden? En welke aanvullende maatregelen kunnen er getroffen worden? Met deze dialoog wordt ook gewerkt aan het risicobewustzijn van de verantwoordelijke en daarmee van de corporatie. Hier liggen veel kansen bij corporaties.
Centraal in de taak van het management staat strategie(realisatie). De strategiekaart vormt de ontbrekende schakel tussen de formulering en uitvoering van strategie. Met de strategiekaart wordt risicomanagement voor bestuurders ook interessant. De strategiekaart vormt de basis voor de interne agenda en vraagt frequente aandacht van het management.
Door de dialoog over risico`s en prestaties gaande te houden wordt risicomanagement het proactieve en anticiperende stuurinstrument waar het voor bedoeld is. Het is een katalysator voor actiegerichtheid op de continue uitdagingen.
Veel gehoorde reactie van MT`s is dat het construeren van de strategiekaart net zo waardevol is als de kaart zelf. Maar het proces is niet eenvoudig. Het construeren zorgt voor discipline en logica in de strategische besluitvorming dat daarvoor veelal niet aanwezig was. Het eindresultaat is een basis voor interne en externe communicatie over doelstellingen en strategie. MT`s kunnen met de strategiekaart goed uitleggen waarom bepaalde zaken wel en andere niet worden ondernomen. Daar draait het om bij strategie, keuzes maken in de belangrijkste activiteiten die goed te onderbouwen zijn.
Strategie gaat om het selecteren van de activiteiten waarin de organisatie dient uit te blinken. De zogenaamde kritieke succesfactoren. Centraal bij het benoemen van kritieke succesfactoren (KSF) staat gegranuleerdheid. Dat betekent verder gaan dan algemeenheden als `onze medewerkers ontwikkelen` of `onze kernwaarden naleven` en focussen op de specifieke mogelijkheden en kenmerken die essentieel zijn voor het succes van de organisatie.
Vanuit de organisatie / de afdelingen dienen initiatieven te worden benoemd welke ondernomen worden om invulling te geven aan de KSF. Deze initiatieven leiden tot resultaten. Dat betekent dat uitvoering van strategie wordt gemanaged door de uitvoering van initiatieven.
De strategiekaart biedt het visuele kader om de doelstellingen van een organisatie in te integreren.
Meer over ‘nooit meer strategiepijn’ is te lezen in dit mooie boek!
