Posted on by
in
Nieuws with
no commentsAansluitend op mijn vorige blog twee weken geleden over de lancering van ons control framework BCM gebaseerd op de NEN/ISO 22301 (managementsysteem voor bedrijfscontinuïteit) ga ik in deze blog nader in op de meerwaarde van BCM die aanzienlijk is en zich ook uit in een hogere bedrijfswaarde. Een interessante invalshoek daarbij is dat bedrijfscontinuïteitsbeheer de mogelijkheid biedt om de mensgerichte kant van een organisatie naar een hoger niveau te tillen. En is dat niet een wens die elk gerespecteerde organisatie van nature heeft?
Door Gerrit Goud
Niemand zag de crisis aankomen en dat is zo kenmerkend voor een crisis. Van de ene op de andere dag krijgt een organisatie te maken met de grootste uitdaging in zijn bestaan in een buitengewone onstabiele en complexe situatie die een bedreiging vormt voor de strategische doelstellingen, reputatie en uiteindelijk het voortbestaan van de organisatie. Deze gevolgen kunnen zeer schadelijk zijn als met name de indruk bestaat dat de organisatie heeft nagelaten zich voor te bereiden op een crisis of er niet in geslaagd is de crisis te beheersen of ervan te herstellen.
Heeft risicomanagement gefaald?
Je zou kunnen redeneren dat risicomanagement als beheersingsinstrument heeft gefaald. Echter die redenatie is ten dele waar. Risicomanagement wordt ingezet als sprake is van een normale bedrijfsvoering met de mogelijkheid allerlei dreigingen te benoemen en deze te voorzien van een risicoprofiel en indien nodig van mitigerende maatregelen. Bij dreigingen in de trant van calamiteiten en crises kom je dan gauw uit op verzekeren en het opzetten van BCM. En dat laatste is een afzonderlijke tak van sport met als doel de continuïteit en het voortbestaan van de organisatie te waarborgen onder alle omstandigheden. Maar dan moet je dit wel serieus willen optuigen en daar ligt meestal het probleem. De eigenaar van het risico ziet weliswaar het risico, maar doet niets om redenen van veel gedoe, geen urgentie, we lossen dit wel achteraf op, geen middelen en een uitermate geringe kans en als het gebeurt dan is dit niet bij ons, maar bij de buurman en gaat vervolgens weer over tot de orde van de dag. Een beetje gechargeerd, maar toch…
Verantwoordelijkheid BCM
Het zal niemand verbazen, maar het bestuur en de directie zijn verantwoordelijk voor BCM. Zij zijn immers ook degenen die verantwoordelijk zijn voor de strategische doelstellingen en ter verantwoording worden geroepen als die doelstellingen in gevaar komen als gevolg van in dit geval een calamiteit of crisis. Als bestuur en directie heb je heel wat uit te leggen als er geen ‘oorlogsplan’ gereed is. En natuurlijk zal een ‘oorlogsplan’ een crisis niet geheel afdekken, maar zorgt er wel voor dat ‘officieren en soldaten’ opgeleid en getraind zijn met de juiste competenties, ‘wapens en munitie’. En dat levert de organisatie meer veerkracht en adaptief- en responsvermogen op in tijden van onvoorziene, complexe en onstabiele omstandigheden.
Omdenken door middel van BCM
Die eigenschappen maken een organisatie ook in vredestijd sterker in termen van bedrijfscultuur, ethiek, saamhorigheid, overlevingsdrang en in de geloofwaardigheid en vertrouwen om succesvol te zijn als organisatie. En dit zijn eigenschappen die elk gerespecteerde organisatie zich toewenst. In die zin kan BCM een prima opmaat zijn voor een mensgericht transitieproces ter bevordering van eerder vermelde eigenschappen in plaats van (de zoveelste) reorganisatie met hetzelfde mensgerichte doel of de weg te kiezen van allerlei op zich zelf staande bewustwordingsprogramma’s. Immers het beoogde doel, de in te zetten middelen en het resultaat komen bij BCM veel nadrukkelijker in beeld. Dit is een interessante invalshoek om vanuit ‘omdenken’ de gewenste menskant van een organisatie via BCM sneller in beweging te krijgen. Ik zou zeggen een win-win opportunity.
Beheerorganisatie BCM
Voor het borgen van BCM is een beheerorganisatie nodig die afdelingsoverstijgend opereert, geïnitieerd vanuit een top down benadering en direct gelinkt is met de directie. Zonder een beleidskader voor bedrijfscontinuïteit, betrokkenheid bestuur en directie en toereikende middelen is er geen deugdelijke basis voor BCM en zijn alle initiatieven gedoemd te mislukken. Dan creëren we hooguit een papieren tijger om vooral onszelf voor de gek te houden.
BCM is onderdeel van de normale bedrijfsvoering en ligt op het niveau van concerncontrol, weliswaar met een ander vizier maar met dezelfde vooruitziende blik. De coördinator bedrijfscontinuïteit (BC) is aanspreekpunt voor alle relevante vraagstukken op het gebied van bedrijfscontinuïteit en behoort de bedrijfsprocessen van de organisatie op hoofdlijnen te kunnen overzien en te beschikken over de juiste competenties waaronder netwerkcoördinatie. De coördinator behoort onder meer inzicht te hebben in:
alle relevante preventieve en preparatieve maatregelen gericht op het voorkomen van ernstige verstoringen, calamiteiten of crises;
alle van toepassing zijnde continuïteitsplannen (inclusief een crisisbeheerplan) die her en der belegd zijn in de organisatie elk voorzien van een eigenaar die verantwoordelijk is voor de inhoud en het periodiek updaten van zijn plan;
een opleidings-, training en oefenprogramma voor elk continuïteitsplan;
alle uit te voeren verbeterpunten in het kader van bedrijfscontinuïteit.
De lezer zal waarschijnlijk de doemscenario’s missen maar die zijn slechts onderdeel van een pragmatische aanpak op basis van ‘reverse engineering’ die ik niet in deze blog behandel, maar wel met geïnteresseerden kan bespreken.
Het is natuurlijk niet zo dat een organisatie niets heeft geregeld. Dat zou vreemd zijn. De grote vraag is wat wel geregeld is en wat nog geregeld moet worden in de context waarin de organisatie opereert. Daarvoor hebben wij een gestructureerde top-down aanpak ontwikkeld in de vorm van een QuickScan BCM voorzien van een rapport met adviezen en een routemap.
Daarnaast hebben wij een control framework BCM gelanceerd gebaseerd op de principes van de NEN/ISO 22301 en bedoeld om BCM te borgen vanuit een managementsysteem voor bedrijfscontinuïteit. Zowel ons intern beheersingsplatform (BCMS) dat gericht is op continu verbeteren op basis van een PDCA-cyclus als het normenkader BCM kunt u in licentie van ons afnemen.
Crisismanagement
Bij een calamiteit of crisis moet een organisatie snel in een overlevingsmodus worden getransformeerd en dat vereist voorbereiding, training, oefenen en oefenen met een crisismanagementteam in combinatie met een crisisbeheerplan waarmee elk teamlid vertrouwd is. Dat plan bevat geen doemscenario’s, maar wel bestuurlijke, organisatorische en coördinerende aspecten. Een crisisbeheerplan is beknopt en gericht om grip en rust te houden en in het voorzien van een effectief responsvermogen. Er behoort in het plan ruimte te zijn voor verrassingen en gebeurtenissen die niet door bestaande procedures en praktijken worden afgedekt. In zo’n situatie speelt coördinatie van getroffen maatregelen en interne en externe communicatie naar belanghebbenden over de aard en omvang van de calamiteit of crisis een cruciale rol. Dit stelt dan ook hoge eisen aan het crisismanagementteam (CMT). Zo behoort de voorzitter van het CMT een krachtige, gezaghebbende, gerespecteerde hogere leidinggevende te zijn met een langetermijnperspectief, die vertrouwd wordt en doortastend is, zonder impulsief te zijn. En dat hoeft niet in alle gevallen de hoogste in rang te zijn.
NEN/ISO 22301
De verwachting is dat steeds meer bedrijven zich laten certificeren op de NEN/ISO 22301, niet alleen om voorbereid te zijn op een calamiteit maar ook om hun imago en reputatie te verhogen en concurrentievoordeel te behalen en te voldoen aan eisen die klanten stellen ten aanzien van bedrijfscontinuïteit zoals we dat ook zien bij informatiebeveiliging (NEN/ISO 27001). En dat is meerwaarde die zich eveneens uit in een hogere bedrijfswaarde. En daarmee is investeren in BCM geen weggegooid geld.
Bedrijfscontinuïteitsmanagementsysteem (BCMS) in Key2Control
In Key2Control bieden wij een kant-en-klaar ingericht BCMS om BCM structureel te willen borgen gebaseerd op een eigen controle raamwerk BCM dat aansluit op de principes van NEN/ISO 22301. De inrichting is concreet toegespitst op de dagelijkse praktijk en bevat ruim 90 normen die voor iedereen herkenbaar zijn. Dit managementsysteem is gebaseerd op continu verbeteren op basis van een PDCA-cyclus. Op elk gewenst moment heeft de organisatie inzicht in de status rond BCM en de mogelijkheid te verbeteren en in te grijpen als blijkt dat het kwaliteitsniveau onder een drempelwaarde komt.
Wilt u meer weten over onze aanpak ten aanzien van BCM en over ons intern beheersingsplatform (BCMS), neem dan contact met ons op. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.
Posted on by
in
Nieuws with
no commentsVoor organisaties in de publieke en private sector die behoefte hebben om gecertificeerd te worden op de NEN/ISO 22301 en/of hun bedrijfscontinuïteit te willen borgen, hebben wij goed nieuws. Key2Control heeft een control framework BCM ontwikkeld die het gehele spectrum van BCM raakt vanuit een procesmatige aanpak met concrete beheersmaatregelen. De NEN/ISO 22301 is vooral gericht op het inrichten en beheren van een managementsysteem voor bedrijfscontinuïteit (BCMS). Wat nog ontbrak is een praktisch instrument om deze norm ook te kunnen toepassen. Daarom hebben wij een afzonderlijk normenkader gedefinieerd bestaande uit meer dan 90 herkenbare normen. Deze normen liggen ten grondslag aan een BCMS. En dat is te vergelijken met de normen voor een managementsysteem voor informatiebeveiliging (ISMS) op basis van de NEN/ISO 27002 ter ondersteuning van de NEN/ISO 27001 waarop gecertificeerd kan worden. Voor organisaties die aan de slag willen met BCM op basis van de NEN/ISO 22301 maar nog niet meteen willen investeren in een BCMS hebben we eveneens een Quikscan BCM ontwikkeld. Met de Quickscan BCM heeft elke organisatie snel inzicht in waar ze op dit moment staan op het gebied van BCM.
Door Gerrit Goud
De Covid-19 crisis is een wake-upcall voor de meeste organisaties. Van de ene op de andere dag krijgt elke organisatie te maken met een hoge mate van omgevingscomplexiteit. Er is een buitengewone onstabiele en complexe situatie ontstaan die een bedreiging vormt voor de strategische doelstellingen en reputatie en uiteindelijk het voortbestaan van de organisatie. De enige remedie om de schade zo beperkt mogelijk te houden is het zoveel mogelijk voorkomen van en een goede voorbereiding op een calamiteit of crisis. En dat besef begint steeds meer door te dringen. Dat besef vertaalt zich ook in een bewustzijn dat meer geïnvesteerd moet worden in de bedrijfscontinuïteit van de organisatie. Alleen hoe doe je dat en hoe krijg je dit onderwerp goed gepositioneerd op de agenda van de directie en het bestuur? Daarvoor is een bredere focus nodig dan alleen te kijken naar een pandemie, immers een ramp kan onverwachts uit elke hoek komen zowel intern als extern.
Control framework BCM
Ons control framework BCM biedt voor elke organisatie een basis om op een gestructureerde wijze te werken aan bedrijfscontinuïteitsbeheer en dit beheer te borgen volgens een PDCA-cyclus gebaseerd op continu verbeteren. In die zin wordt dit thema opgenomen in het intern beheersingsproces van de organisatie. Met ons raamwerk bespaart u aanzienlijk veel tijd in de voorbereiding en uitvoering en het biedt structuur en houvast voor iedereen die een bijdrage moet leveren aan BCM. Het raamwerk gaat onder meer in op
- beleidsmatige als organisatorische aspecten rond BCM,
- relevante preventieve en preparatieve maatregelen en
- het opstellen en beheren van de benodigde continuïteitsplannen.
Meerwaarde Key2Control
De NEN/ISO 22301 is vooral gericht is op het inrichten en beheren van een managementsysteem voor bedrijfscontinuïteit (BCMS) In Key2Control verrijken we dit normenkader met inhoudelijke normen die voor iedereen herkenbaar zijn. Specifieke aandacht is er voor crisismanagement en in het bijzonder een crisisbeheerteam. Zo’n team is geoefend en getraind om onder hoge druk en onstabiele omstandigheden met de dan beschikbare informatie effectief te presteren om de schade zo beperkt mogelijk te houden. Het raamwerk is van toepassing op de hele organisatie en vereist medewerking vanuit alle afdelingen die een rol spelen in het kader van BCM.
Uiteraard zijn er raakvlakken met andere disciplines zoals informatiebeveiliging en privacybescherming want ook dat zijn aspecten die tijdens een calamiteit of crisis overeind moeten blijven. Zowel ons intern beheersingsplatform (BCMS) dat gericht is op continu verbeteren op basis van een PDCA-cyclus als het normenkader BCM kunt u in licentie van ons afnemen.
Meerwaarde Quickscan BCM
Voor organisaties die graag willen weten waar ze op dit moment staan op het gebied van BCM bieden wij een QuickScan BCM aan tegen een vaste prijs. Deze QuickScan is ontwikkeld op basis van een methodiek die zich in de praktijk al heeft bewezen op andere aandachtgebieden van interne beheersing. Deze scan geeft op basis van een vragenlijst snel inzicht met als eindresultaat een rapport QuickScan BCM voorzien van adviezen. De doorlooptijd van de Quickscan inclusief rapportage is hooguit 1 week. Het rapport kan ingezet worden als opmaat naar een structurele aanpak zoals hieronder grafisch weergegeven.
Een top down benadering voor BCM is essentieel. Immers de top is verantwoordelijk voor haar strategische doelstellingen en wordt ter verantwoording geroepen als die doelstellingen in gevaar komen als gevolg van een calamiteit of crisis.
In een volgende blog ga ik nader in op de meerwaarde en inzet van BCM die wellicht groter is dan de zoveelste in te zetten ‘reorganisatie’ voor het opkrikken van de bedrijfscultuur, saamhorigheid en veerkracht van een organisatie.
Wilt u meer weten over ons control framework voor bedrijfscontinuïteit, onze aanpak en intern beheersingsplatform (BCMS) of over onze QuickScan BCM, neem dan contact met ons op. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.
Posted on by
in
Nieuws with
no commentsEen vierdelige blogserie over de verbindende schakel in de achterhoede van de organisatie
De COVID-19 crisis legt een zware claim op de veerkracht van gemeenten. Gemeenten worden net als bedrijven en burgers geconfronteerd met de sociale, economische en financiële beperkingen van de 1,5 meter samenleving. Gemeenten zijn door het Rijk aangewezen als de uitvoeringsorganisatie voor tal van zaken en dat vraagt om veel flexibiliteit om bestaande taken anders te organiseren of nieuwe taken in te passen. Tegelijkertijd wordt de gemeentelijke organisatie zelf ook geconfronteerd met de gevolgen van de COVID-19 crisis. Inkomsten uit belastingen lopen sterk terug en er wordt veel ondersteuning grotendeels voorgefinancierd aan ondernemers, en gecontracteerde zorg- en welzijnsinstellingen. Midden in dit krachtenveld vormt de concerncontroller de verbindende schakel. In deze vierdelige blogserie gaan we in op de uitdagingen voor de concerncontroller in het kader van COVID-19. Vanuit verschillende invalshoeken beschrijven we de kansen voor gemeenten om sterker uit deze COVID-19 crisis te komen. Vandaag het 4e en laatste deel over hoe het gewone werk van de concerncontroller dan te organiseren is tijdens de COVID-19 crisis.
Door Bart Suers
In de eerste 3 blogs van mijn collega Gerrit werd al duidelijk dat er veel flexibiliteit en organisatievermogen wordt gevraagd van de concerncontroller omdat hij/zij snel moet kunnen schakelen in diverse rollen die van hem/haar worden verwacht. Maar vergeet niet dat de ‘winkel gewoon ook open blijft’. De provincie, gemeenteraad en het college verwachten allemaal ook dat de concerncontroller toch even tijdig de begroting oplevert voor 2021. Een begroting waarin alle financiële en economische onzekerheid van vandaag is opgeschreven als zekerheid voor volgend jaar. Ik zou bijna concluderen dat met deze verwachting aan de concerncontroller –naast die 6 rollen die in de eerste 3 blogs aan hem/haar zijn toegedicht– ook nog de 7e rol van waarzegger toegevoegd kan worden. Dat klinkt net zo onrealistisch als de verwachtingen zoals ze nu zijn. We krijgen dus een begrotingsvoorbereiding met heel veel voetnoten.
Hete zomer
De voorjaarsnota is normaliter een incrementele aanpassing van de begroting die een paar maanden geleden is vastgesteld door de Raad. Natuurlijk zijn de laatste uitvoeringswensen uit het collegeprogramma en de accenten die de Raad heeft gezet erin verwerkt. Dit jaar zal het dus radicaal anders worden. Het wordt een hete zomer om een sluitende begroting te kunnen presenteren. En als die voorjaarsnota er dan is én het lukt ook nog om die netjes voor 15 juli bij de provincie te krijgen met enige vertaalslag van de realiteit van de dag dan is dat een prima prestatie. Want tegen de tijd dat de gemeenteraad weer in beeld komt medio oktober/november ziet de wereld er wéér anders uit. Dus het wordt een hete zomer voor concerncontrollers om met een representatief begrotingsbeeld te komen voor 2021.
COVID-19 dossierlast
In Den Haag is de term ‘parlementaire enquête’ al gevallen zo hebben insiders mij verzekerd. Gelet op de maatschappelijke impact kan ik mij dat goed voorstellen. Op kleinere schaal zal dat voor gemeenten waarschijnlijk niet anders zijn. College uitvoeringsprogramma’s kunnen worden verscheurd, het overeind houden van de samenleving trekt een zware wissel op het nog mooier willen maken van onze lokale omgeving. Dat kan een concerncontroller er niet ook nog bij hebben. De concerncontroller moet zich daarom ontdoen van die COVID-19 dossierlast maar niet de controle verliezen. De concerncontroller is gebaat bij een tijdelijke aparte beheersomgeving waarmee de rechtmatigheid van alle genomen maatregelen in het kader van de Coronacrisis worden verzameld, beheerd en bewaard.
Alle hens aan dek!
De uitvoering van alle extra werkzaamheden die het gevolg zijn van deze bijzondere taken vinden namelijk nu plaats in bestaande uitvoeringsprocessen. En natuurlijk is er nu geen tijd om aandacht te besteden aan borging, rapportage & verantwoording van al deze COVID-19 gerelateerde activiteiten met bijhorende kosten en risico’s. Alle hens aan dek dus. Maar in het achterhoofd weet ook iedereen dat op een later moment gemeenten zich wel moeten verantwoorden en dit dus nog moeten organiseren. En dan zijn ze op zoek naar de concerncontroller die het veel te druk heeft om inhoudelijk een realistische begroting 2021 op te tuigen en tegelijk de verwachtingen richting College, Raad en Provincie te managen.
Anders organiseren
College, gemeenteraad, Provincie, het Rijk, ja zelfs de samenleving verwachten allemaal dat de gemeente straks in staat is om aantoonbaar te verantwoorden dat er rechtmatig is gehandeld. Met andere woorden dat we gegeven de omstandigheden de goede dingen goed gedaan hebben. En dat betekent nogal wat. Zoals met een gerust hart kunnen antwoorden op vragen als: zijn frauderisico’s, declaratierisico’s en bestuurlijke risico’s verkleind waar het kon? Zijn er geen onnodige kosten gemaakt voor zover mogelijk? Als we dit op de traditionele manier aanpakken dan betekent dit voor gemeenten een omvangrijk, arbeidsintensief en dus dure aangelegenheid. Dit komt vooral omdat we het dan allemaal achteraf gaan organiseren. En dus moeten we dit echt anders organiseren door het optuigen van een tijdelijke beheersorganisatie.
COVID-19 Verantwoordingsmodule
De uitdagingen voor de concerncontroller zijn dus aanzienlijk. Het is dus aan te raden om direct te starten met het optuigen van een tijdelijke beheersorganisatie waarin structuur wordt aangereikt, de onderlinge samenwerking vanuit meerdere disciplines wordt bevorderd en overzicht en inzicht wordt gegeven op alle COVID-19 gerelateerde beheersmaatregelen. Op die manier kunnen kosten worden bespaard en risico’s worden beperkt. Key2Control biedt een COVID-19 Verantwoordingsmodule aan als een kant en klare tijdelijke beheersomgeving waarmee de 1e lijn wordt ontlast in het aanleggen van een COVID-19 dossier en de 2e en 3e lijn worden ondersteund in het ontwerpen en implementeren van een verantwoordingskader voor COVID-19 maatregelen. Het controleraamwerk Tozo is al beschikbaar voor alle gemeenten in Nederland. In deze eerste versie is het controleraamwerk TOZO al beschikbaar. Daarmee kunnen gemeenten de rechtmatige uitgaven in het kader van de Tijdelijke Overbruggingsregeling Zelfstandige Ondernemers (TOZO) aantonen en verantwoorden. Samen met gemeenten zal het instrument in de komende periode verder worden uitgebouwd. Versie 2 van Tozo komt binnenkort beschikbaar vanwege de verwachte 2e tranche; de verlenging van de Tozo maatregel.
Wilt u meer weten over onze aanpak van interne beheersing tijdens en na de crisis of meer informatie over de COVID-19 Verantwoordingsmodule neem dan contact met ons op. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.
Posted on by
in
Nieuws with
no commentsEen vierdelige blogserie over de verbindende schakel in de achterhoede van de organisatie
De COVID-19 crisis legt een zware claim op de veerkracht van gemeenten. Gemeenten worden net als bedrijven en burgers geconfronteerd met de sociale, economische en financiële beperkingen van de 1,5 meter samenleving. Gemeenten zijn door het Rijk aangewezen als de uitvoeringsorganisatie voor tal van zaken en dat vraagt om veel flexibiliteit om bestaande taken anders te organiseren of nieuwe taken in te passen. Tegelijkertijd wordt de gemeentelijke organisatie zelf ook geconfronteerd met de gevolgen van de COVID-19 crisis. Inkomsten uit belastingen lopen sterk terug en er wordt veel ondersteuning grotendeels voorgefinancierd aan ondernemers, en gecontracteerde zorg- en welzijnsinstellingen. In deze vierdelige blogserie gaan we nader in op de uitdagingen van de concerncontroller in het kader van COVID-19. Midden in dit krachtenveld vormt de concerncontroller namelijk een verbindende schakel tussen stakeholders. In de 1e blog is stilgestaan bij het kompas dat de concerncontroller houvast geeft om in tijden van crisis zijn toegevoegde waarde te etaleren. In de 2e blog ben ik ingegaan op de rol van de concerncontroller als crisismanager, risicomanager en schademanager tijdens de COVID-19 crisis. In deze 3e blog behandel ik de rol van concerncontroller als poortwachter van interne beheersing, innovatiemanager en projectmanager.
Door Gerrit Goud
Concerncontroller als poortwachter van interne beheersing
In tijden van crisis loert het gevaar dat struisvogelgedrag de kop opsteekt in de trant van “nu even niet”, “we hebben wel wat anders te doen” of “we hebben geen tijd en geld voor controlewerkzaamheden”. Maar ook het gevaar van misbruik en oneigenlijk gebruik van middelen ligt bij een crisis op de loer en dat wordt versterkt als de interne beheersing niet de aandacht krijgt die het verdient. En in crisis is elke organisatie kwetsbaarder voor misbruik, fraude en oneigenlijk gebruik, dus ook een gemeente.
Oh zo herkenbaar en het is juist de concerncontroller als poortwachter van interne beheersing die hierop alert moet zijn en stakeholders hierop moet wijzen. En daarnaast de balans blijft zoeken tussen de bouwstenen van interne beheersing en de dynamiek waarin de organisatie zich begeeft en daarop gericht stuurt. Zo is aandacht nodig voor het beschikbaar stellen van extra controlecapaciteit en dat is bij sommige gemeenten een heikel punt. Bedenk dat ook lagere inkomsten aanleiding kunnen zijn tot fraude door van de (onstabiele) omstandigheid misbruik te maken. Niemand weet immers hoe laag dat dal is, er is immers geen vergelijkingsinformatie en een slimme fraudeur kan hiervan dankbaar gebruik maken als de interne beheersing niet op orde is. Niets is vervelender dan achteraf geconfronteerd te worden met dit soort fraudegevallen. Dan zijn de rapen gaar.
Concerncontroller als innovatiemanager
Het innovatievermogen van de concerncontroller is van belang als het gaat om nieuwe context in relatie tot interne beheersing. Zo is de Tozo een tijdelijke noodregeling waar veel geld in omgaat en onderhevig is aan bepaalde risico’s. De regeling is bedoeld voor zelfstandige ondernemers waaronder zzp’ers die in de knel komen door de coronacrisis en onder het sociaal minimum terechtkomen. De regeling is gebaseerd op het al bestaande Bbz, maar de insteek van de wetgever is om deze tijdelijke regeling sneller en soepeler te laten verlopen dan de reguliere bijstand. Hoe schrijnend de verhalen van zelfstandige ondernemers ook zijn, er moet natuurlijk wel een balans zijn met interne beheersing die in deze specifieke situatie voor een groot deel gericht is op het repressieve deel (achteraf). Immers door het versoepelen van de intake en de verwachte instroom van Tozo-aanvragen (landelijk 300.000 aanvragen) is sprake van een hogere kans op misbruik en oneigenlijk gebruik dan voor de reguliere bijstand waar de intake zwaarder is.
Die inschatting moet een plek krijgen in de beheersorganisatie en daar ligt een belangrijke rol voor de concerncontroller. De tijdelijke regeling heeft een hoog materialiteitsgehalte in het kader van de jaarrekening (2020) en dat vereist afstemming met het sociaal domein over voorbereiding, inzet en vastleggingen en met de VIC over extra controlecapaciteit op de rechtmatige uitgaven. Het innovatievermogen is dan gericht om met elkaar een controleraamwerk Tozo op te stellen waaraan getoetst kan worden. Zo’n raamwerk geeft structuur en houvast zowel aan de kant van het sociaal domein als bij VIC.
Inmiddels is over de declaratie naar het Rijk meer duidelijkheid. In het gepubliceerde besluit Tozo op 21 april jl. in het staatsblad onder nummer 118 is aangegeven dat het Rijk 100% vergoedt van de kosten van tijdelijke bijstand en bijstand ter voorziening van bedrijfskapitaal. Voor de uitvoeringskosten geldt een nog nader te bepalen bedrag voor elk genomen besluit op een aanvraag. Daaraan kleeft een risico als de werkelijke uitvoeringskosten hoger zijn. Het Rijk stelt wel als eis dat alleen bestedingen waarvan de rechtmatigheid is aangetoond voor declaratie in aanmerking komen en dat de minister hiervan kan afwijken indien de geconstateerde fouten en onzekerheden leiden tot een onbillijkheid van overwegende aard. Dus aandacht voor rechtmatigheid vanuit de gemeente is uitermate van belang.
Concerncontroller als projectmanager
De opgedane ervaring als concerncontroller tijdens de crisis kan de opmaat zijn richting de rechtmatigheidsverantwoording. Die staat immers nog steeds op de agenda. Zoals eerder is gememoreerd, is crisisbeheersing een verbijzonderde vorm van interne beheersing en tijdens een crisis komt de ware positieve aard (DNA) boven drijven en weet je wat je aan elkaar hebt. Weliswaar in een andere setting met een groot saamhorigheidsgevoel waaraan is geroken en die geur moet je zien vast te houden. Dan komt het aan op doorpakken om van de nood een deugd te maken. Die uitdaging ligt bij de concerncontroller als projectmanager.
De concerncontroller is de aangewezen persoon voor de voorbereiding en implementatie naar de rechtmatigheidsverantwoording, maar dat kan hij niet alleen. Vanuit zijn netwerkcoördinatie kan de concerncontroller de banden tussen de verschillende organisatielagen en disciplines verstevigen als gevolg van de crisis en dat biedt tegelijkertijd een voedingsbodem om door te pakken met visie, ambitie en beleid ten aanzien van interne beheersing in relatie tot de financiële rechtmatigheid. Door een projectmatige aanpak en in gesprek te blijven met directie en lijnmanagers kan in 2020 de weg bewandeld worden naar een beheerorganisatie voor de rechtmatigheidsverantwoording. De concerncontroller zal hierbij moeten blijven investeren in zijn netwerkcoördinatie omdat de kans aanwezig is dat lijnmanagers terugvallen in oude gedragspatronen naarmate de normale bedrijfsvoering weer in beeld komt. Deze hele operatie van interne beheersing naar de rechtmatigheidsverantwoording is blijvend en legt een zware last op de schouders van de organisatie.
Tozo control framework in de COVID-19 Verantwoordingsmodule
Die last van de concerncontroller als projectmanager kan eenvoudig worden verlicht door gebruik te maken van geautomatiseerde oplossingen op het gebied van interne beheersing. Op dat vlak ondersteunen wij gemeenten met ons intern beheersingsplatform dat voorzien is van voorgedefinieerde controleraamwerken op gemeentelijke bedrijfsprocessen die onder de financiële rechtmatigheid vallen. Dat scheelt aanzienlijk veel tijd in de voorbereiding omdat alle relevante controleraamwerken beschikbaar zijn en dus niet zelf ontwikkeld hoeven te worden en direct inzetbaar zijn. Door die tijdbesparing kan de concerncontroller zich vooral richten op de menskant van interne beheersing (cultuur & ethiek). En daarmee pakt de concerncontroller opnieuw de rol van innovatiemanager met nieuwe perspectieven en initiatieven voor de nabije toekomst.
Ten slotte
De uitdagingen voor de concerncontroller zijn aanzienlijk zoals eerder aangegeven. Van hem of haar worden verschillende rollen verwacht. Het is dus aan te raden om direct te starten met het optuigen van een tijdelijke beheersorganisatie waarin structuur wordt aangereikt, de onderlinge samenwerking vanuit meerdere disciplines wordt bevorderd en overzicht en inzicht wordt gegeven op alle COVID-19 gerelateerde beheersmaatregelen. Op die manier kunnen kosten worden bespaard en risico’s worden beperkt. Key2Control biedt een COVID-19 Verantwoordingsmodule aan als een kant en klare tijdelijke beheersomgeving waarmee de 1e lijn wordt ontlast in het aanleggen van een COVID-19 dossier en de 2e en 3e lijn worden ondersteund in het ontwerpen en implementeren van een verantwoordingskader voor COVID-19 maatregelen. Het controleraamwerk Tozo is al beschikbaar voor alle gemeenten in Nederland. Daarmee kunnen gemeenten de rechtmatige uitgaven in het kader van de Tijdelijke overbruggingsregeling zelfstandige ondernemers (Tozo) aantonen en verantwoorden. Samen met gemeenten zal het instrument in de komende periode verder worden uitgebouwd.
In de laatste blog gaat mijn collega Bart Suers nader in op de effecten van COVID-19 op de reguliere activiteiten van de concerncontroller, want ook die wereld is anders dan normaal.
Wilt u meer weten over onze aanpak van interne beheersing tijdens en na de crisis of meer informatie over de COVID-19 Verantwoordingsmodule neem dan contact met ons op. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.
Posted on by
in
Nieuws with
no commentsEen vierdelige blogserie over de verbindende schakel in de achterhoede van de organisatie
De COVID-19 crisis legt een zware claim op de veerkracht van gemeenten. Gemeenten worden net als bedrijven en burgers geconfronteerd met de sociale, economische en financiële beperkingen van de 1,5 meter samenleving. Gemeenten zijn door het Rijk aangewezen als de uitvoeringsorganisatie voor tal van zaken en dat vraagt om veel flexibiliteit om bestaande taken anders te organiseren of nieuwe taken in te passen. Tegelijkertijd wordt de gemeentelijke organisatie zelf ook geconfronteerd met de gevolgen van de COVID-19 crisis. Inkomsten uit belastingen lopen sterk terug en er wordt veel ondersteuning grotendeels voorgefinancierd aan ondernemers, en gecontracteerde zorg- en welzijnsinstellingen. In deze vierdelige blogserie gaan we nader in op de uitdagingen van de concerncontroller in het kader van COVID-19. Midden in dit krachtenveld vormt de concerncontroller namelijk een verbindende schakel tussen stakeholders. In het 2e deel ga ik in op een aantal verschillende rollen van de concerncontroller als crisismanager, risicomanager en schademanager tijdens de COVID-19 crisis.
Door Gerrit Goud
In de vorige blog is stilgestaan bij het kompas dat de concerncontroller houvast geeft om in tijden van crisis zijn toegevoegde waarde te etaleren. Niet dat de concerncontroller op de voorgrond treedt maar juist zijn meerwaarde heeft in de achterhoede als verbindende schakel om veerkracht, initiatieven en inspiratie vanuit de organisatie te stimuleren met oog op het effect op het weerstandsvermogen. Natuurlijk moet de gemeente in deze crisisfase kordaat bijspringen om de burgers en organisaties zo rechtvaardig mogelijk te helpen. Dat is immers het bestaansrecht van een gemeente. De schaarste aan voldoende middelen creëert tegelijkertijd een dilemma voor gemeenten. Enerzijds ligt dit op het vlak de gemeenschap te helpen en de economische schade zoveel mogelijk te beperken, anderzijds de negatieve effecten hiervan op het weerstandsvermogen beheersbaar te houden. En in dat spanningsveld opereert de concerncontroller om balans te vinden tussen datgene wat nodig en haalbaar is rekening houdend met de belangen van stakeholders.
Concerncontroller als crisismanager
Na het uitroepen van de intelligente lockdown heeft het kabinet direct als respons diverse steunmaatregelen in stelling gebracht om het bedrijfsleven onder bepaalde voorwaarden zoveel mogelijk te helpen. Ook gemeenten zijn belast met de uitvoering van een van deze regelingen en wel de Tijdelijke overbruggingsregeling zelfstandige ondernemers (Tozo) en dat vergt voorbereiding, extra inzet menskracht en controle achteraf. Daarnaast zijn er gemeenten die eigen initiatieven ontplooien zoals het ter beschikking stellen van steunfondsen uit eigen middelen en het tijdelijk stopzetten van huurinkomsten om de financiële pijn bij huurders (instellingen, verenigingen) te verzachten.
In deze setting is de rol van de concerncontroller om in de achterhoede doortastend op te treden zonder impulsief te zijn. De focus is gericht op het snel krijgen van inzicht in de effecten van de coronacrisis op de organisatie en samenleving. De drijfveer van de concerncontroller als crisismanager is voornamelijk gericht op het in beeld krijgen van de effecten op de ontwikkeling van het weerstandsvermogen op korte, middellange en lange termijn. Een aspect hiervan is inzicht krijgen in de ingezette en in te zetten crisisactiviteiten en de financiële vertaling hiervan. Netwerkcoördinatie van de concerncontroller speelt hierbij een cruciale rol. En dan gaat het over communiceren, communiceren, coördineren, faciliteren en afstemmen met alle organisatielagen en disciplines.
Maar het negatieve effect op het weerstandsvermogen komt vooral uit inkomstenderving op korte termijn door minder parkeergelden, toeristenbelasting, hogere oninbare vorderingen op gemeentelijke belastingen en heffingen, minder leges en tegenvallende inkomsten uit grondexploitaties.
Vanuit de uitgavenkant schieten de kosten omhoog vooral in het sociaal domein door de uitvoeringkosten van de Tozo (niet alle indirecte uitgaven zijn declarabel) en extra druk op de (reguliere) bijstand. Verder ligt het in de verwachting dat de druk op de WMO (denk ook aan afname eigen bijdrage via CAK), jeugdhulp (huishoudelijk geweld) en schuldhulpverlening gaan toenemen. Voor de openbare orde en veiligheid zijn aanvullende kosten te verwachten als gevolg van de extra inzet van handhavers (BOA’s). En niet te vergeten het domein van sport en cultuur waar eveneens klappen gaan vallen. Dan gaat het niet zozeer om (reeds) verstrekte subsidies, maar eerder om de maatschappelijke effecten bij het uitvallen van dit soort instellingen. Dat is weliswaar een politieke aangelegenheid, maar de druk vanuit de samenleving zal toenemen om instellingen als een zwembad of culturele instelling niet dicht te gooien als gevolg van een virus. Helaas is sport en cultuur een makkelijke prooi als het om bezuinigen gaat en juist in tijden van social distancing kan dat wel eens averechtse werking hebben.
Bovenstaand overziend lijkt het wel alsof het hele ‘gemeentehuis’ in elkaar stort en in overdrachtelijke zin gebeurt dat ook en dan is het van belang daarop kordaat te reageren. De rol van concerncontroller als crisismanager in de achterhoede komt dan nadrukkelijk in beeld.
Concerncontroller als risicomanager
Bij een crisis is altijd behoefte aan realtime informatie. Vanuit de rol van de concerncontroller gaat het vooral om financiële informatie zoals prognoses en de effecten hiervan op de ontwikkeling van het weerstandsvermogen. Die informatie komt niet vanzelf, maar moet in een crisissetting georganiseerd worden. Daarvoor is een impactanalyseteam nodig die aangestuurd wordt door de concerncontroller als risicomanager. Dit team moet in staat zijn te werken met informatie voorzien van een hoog onzekerheidsgehalte uit alle hoeken van de organisatie en dit kunnen verdisconteren naar financiële informatie. Dat gaat helaas ten koste van de betrouwbaarheid van de output, maar er is geen andere optie. Dat is nu eenmaal inherent aan prognoses. Neemt niet weg dat prognoses bijdragen tot betere inzichten.
In de voorbereiding zijn realistische aannames nodig om onzekerheden te adresseren zoals duur van de crisis en het maken van inschattingen die zoveel onderbouwd kunnen worden. In deze fase heeft het weinig zin om prognoses in detail uit te voeren wetende dat de wereld over 1 week er weer anders uitziet. Wel is het van belang analyses regelmatig te actualiseren met vernieuwde inzichten. En naarmate de onzekerheid als gevolg van de crisis afneemt is er meer ruimte voor detaillering en diepgang van prognoses en neemt de frequentie van updaten af.
Hoewel de huidige begroting als nieuwswaarde heeft ingeleverd biedt dit document houvast bij de risicoanalyse. Immers alle gemeentelijke producten en diensten zijn daarin op een gestructureerde wijze (IV3) opgenomen.
Concerncontroller als schademanager
In dit kader gaat het vooral om de schade op de huidige begroting en de begroting 2021 waarvoor de voorbereidingen in principe al in gang zijn gezet. Prangende vragen zijn dan welke aanpassingen nodig zijn en in hoeverre nog ruimte is voor nieuw beleid? Gaan we de hand op de knip houden en over in een bezuinigingsmodus of blijven we voorlopig ruimhartig? Die keuze is natuurlijk aan de politiek, maar de concerncontroller kan hierbij wel diverse scenario’s aanreiken voor de gedachtevorming.
In tegenstelling tot voorgaande jaren kan voor de begroting 2021 niet geleund worden op de kosten en inkomstenontwikkeling uit de jaarrekening 2019 omdat daarin geen effecten van de crisis zijn inbegrepen. Nu is het wel zo dat het effect op de begroting 2020 duidelijker wordt naarmate de tijd verstrijkt, maar dat geldt natuurlijk niet voor de nog op te stellen begroting 2021 die in het najaar beschikbaar moet zijn. In de risicoparagraaf van deze begroting zal overigens uitvoerig aandacht moeten worden besteed aan de onzekerheden als gevolg van de crisis en het effect op het weerstandsvermogen van de gemeente.
Tozo control framework in de COVID-19 Verantwoordingsmodule
De uitdagingen voor de concerncontroller zijn dus aanzienlijk. Van hem of haar worden verschillende rollen verwacht. Het is dus aan te raden om direct te starten met het optuigen van een tijdelijke beheersorganisatie waarin structuur wordt aangereikt, de onderlinge samenwerking vanuit meerdere disciplines wordt bevorderd en overzicht en inzicht wordt gegeven op alle COVID-19 gerelateerde beheersmaatregelen. Op die manier kunnen kosten worden bespaard en risico’s worden beperkt. Key2Control biedt een COVID-19 Verantwoordingsmodule aan als een kant en klare tijdelijke beheersomgeving waarmee de 1e lijn wordt ontlast in het aanleggen van een COVID-19 dossier en de 2e en 3e lijn worden ondersteund in het ontwerpen en implementeren van een verantwoordingskader voor COVID-19 maatregelen. Het controleraamwerk Tozo is al beschikbaar voor alle gemeenten in Nederland. Daarmee kunnen gemeenten de rechtmatige uitgaven in het kader van de Tijdelijke overbruggingsregeling zelfstandige ondernemers (Tozo) aantonen en verantwoorden. Samen met gemeenten zal het instrument in de komende periode verder worden uitgebouwd.
In de volgende blog ga ik nader in op de rollen van de concerncontroller als poortwachter van interne beheersing, als innovatiemanager en als projectmanager. Wilt u meer weten over onze aanpak van interne beheersing tijdens en na de crisis of meer informatie over de COVID-19 Verantwoordingsmodule neem dan contact met ons op. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.
Posted on by
in
Nieuws with
no commentsEen vierdelige blogserie over de verbindende schakel in de achterhoede van de organisatie
De COVID-19 crisis legt een zware claim op de veerkracht van gemeenten. Gemeenten worden net als bedrijven en burgers geconfronteerd met de sociale, economische en financiële beperkingen van de 1,5 meter samenleving. Gemeenten zijn door het Rijk aangewezen als de uitvoeringsorganisatie voor tal van zaken en dat vraagt om veel flexibiliteit om bestaande taken anders te organiseren of nieuwe taken in te passen. Tegelijkertijd wordt de gemeentelijke organisatie zelf ook geconfronteerd met de gevolgen van de COVID-19 crisis. Inkomsten uit belastingen lopen sterk terug en er wordt veel ondersteuning grotendeels voorgefinancierd aan ondernemers, en gecontracteerde zorg- en welzijnsinstellingen. In deze vierdelige blogserie gaan we nader in op de uitdagingen van de concerncontroller in het kader van COVID-19. Midden in dit krachtenveld vormt de concerncontroller namelijk een verbindende schakel tussen stakeholders. In dit 1e deel ga ik nader in op de noodzaak van interne beheersing tijdens de COVID-19 crisis.
Door Gerrit Goud
Wat gaat de concerncontroller in crisistijd doen?
Wat gaat de concerncontroller de komende periode doen en wat is zijn rol in deze crisistijd? Neemt hij een afwachtende houding aan of trekt hij initiatieven naar zich toe door zich vanuit zijn controllersfunctie proactief op te stellen? Natuurlijk voor het laatste want de organisatie verkeert opeens in zeer onzekere tijden; er is immers sprake van een hoge dynamiek en met allerlei nieuwe risico’s die geadresseerd moeten worden. Dan wordt er ook iets verwacht van de concerncontroller en daarvoor is geen handboek. Het komt aan op skills en vaardigheden met als richtsnoer dat de concerncontroller zich blijft focussen op interne beheersing, ook in crisistijd. Immers crisisbeheer is niets anders dan een verbijzonderde vorm van interne beheersing met de focus op governance (organisatie besturing), risk (risicobeheer) en performance (prestatiemeting). In dit kader refereer ik naar ons beheersingsmodel dat gebaseerd is op 7 bouwstenen en in eerdere blogs is beschreven. Grafisch ziet ons model er als volgt uit:
Organisatie besturing (governance)
Als we het hebben over organisatiebesturing dan gaat het bij interne beheersing vooral om de rolverdeling volgens het principe van three lines of defence (3LOD) en de onderlinge samenwerking. Daar waar doemdenkers aangeven dat 3LOD dood is, zie je in crisistijd dat 3LOD juist leeft. De crisis zorgt voor nauwere samenwerking die in korte tijd tot mooie resultaten leiden zoals het faciliteren in veilig gebruik van mobile devices (laptops, iPads, etc) en thuiswerkplekken en in conference calls om de continuïteit van de bedrijfsvoering zoveel mogelijk intact te houden. En het ziet er naar uit dat dit blijvertjes zijn en impact gaat krijgen in het nieuwe werken na de crisistijd. Die nauwe samenwerking tussen verschillende beschermingslagen en disciplines die uit nood is geboren zou eveneens blijvend moeten zijn. En dat is ook mogelijk door te redeneren vanuit interne beheersing. Want zoals eerder aangegeven is crisisbeheersing niets anders dan een verbijzonderde vorm van interne beheersing.
Prestatiemeting (performance)
Vanuit performance gaat het om actuele prognoses, kengetallen en betrouwbare financiële informatie ten behoeve van de besluitvorming tijdens de crisis en om stakeholders te informeren. Immers het weerstandsvermogen staat onder druk en gemeenten willen weten hoe het weerstandsvermogen zich de komende jaren als gevolg van de crisis gaat ontwikkelen. De uitdaging is dan om de beperkte informatie voortkomend uit de crisis te vertalen naar actuele en betrouwbare financiële informatie.
Prestatiemeting in het kader van de crisis richt zich eveneens op het meten van de gezondheid van het intern beheersingsklimaat rond de uitgaven van de Tijdelijke overbruggingsregeling zelfstandige ondernemers (Tozo). Deze tijdelijke regeling moet onder uitzonderlijke condities worden uitgevoerd waarbij sprake is van een verhoogde kans op fouten en verhoogde kans op misbruik en oneigenlijk gebruik. Dat vereist een effectief beheersingssysteem om grip te blijven houden op de rechtmatigheid van deze uitgaven die een hoog materialiteitsgehalte heeft in de jaarrekening 2020 waarin verantwoording wordt afgelegd. Als daarop te weinig controlemaatregelen zijn getroffen, kan dit later tot extra reparatiekosten leiden. In de volgende blog ga ik hierop nader in.
Risicobeheer (Risk)
Vanuit risicobeheer gaat het om het in beeld brengen van risico’s als gevolg van de pandemie en de mitigerende maatregelen die getroffen worden en de impact hiervan op prognoses en financiële informatie. Ook op dit onderdeel ga ik in een volgende blog nader in.
Overige bouwstenen van interne beheersing
Uiteraard mogen we de andere bouwstenen niet uit het oog verliezen zoals naleving (compliance) en interne control omdat elke gemeente nog steeds te maken heeft met rechtmatigheidsvraagstukken en het op een controleerbare wijze afleggen van verantwoording. Weliswaar komt dat op een later tijdstip maar een concerncontroller met vooruitziende blik snapt dat hiervoor nu al de nodige waarborgen geregeld moeten zijn. Immers over de lagere inkomsten (volledigheid) en hogere uitgaven (juistheid, rechtmatigheid) moet ook op een aantoonbare wijze verantwoording worden afgelegd.
Vervolg
In deze blog is het kader geschetst waarin de concerncontroller opereert en op welke bouwstenen van interne beheersing de nadruk wordt gelegd in crisistijd. In de volgende blog gaan we nader in op de rol van concerncontroller opererend in de achterhoede als (1) crisismanager, (2) poortwachter van interne beheersing, (3) risicomanager, (4) schademanager, (5) innovatiemanager en (6) projectmanager.
COVID-19 Verantwoordingsmodule
De uitdagingen voor de concerncontroller zijn dus aanzienlijk. Het is dus aan te raden om direct te starten met het optuigen van een tijdelijke beheersorganisatie waarin structuur wordt aangereikt, de onderlinge samenwerking vanuit meerdere disciplines wordt bevorderd en overzicht en inzicht wordt gegeven op alle COVID-19 gerelateerde beheersmaatregelen. Op die manier kunnen kosten worden bespaard en risico’s worden beperkt. Key2Control biedt een COVID-19 Verantwoordingsmodule aan als een kant en klare tijdelijke beheersomgeving waarmee de 1e lijn wordt ontlast in het aanleggen van een COVID-19 dossier en de 2e en 3e lijn worden ondersteund in het ontwerpen en implementeren van een verantwoordingskader voor COVID-19 maatregelen. Het controleraamwerk Tozo is al beschikbaar voor alle gemeenten in Nederland. Daarmee kunnen gemeenten de rechtmatige uitgaven in het kader van de Tijdelijke overbruggingsregeling zelfstandige ondernemers (Tozo) aantonen en verantwoorden. Samen met gemeenten zal het instrument in de komende periode verder worden uitgebouwd.
Wilt u meer weten over onze aanpak van interne beheersing tijdens en na de crisis of meer informatie over de COVID-19 Verantwoordingsmodule neem dan contact met ons op. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.
Posted on by
in
Nieuws with
no commentsOp 15 april 2020 zijn Key2Control en Innervate een partnerschap aangegaan om (zorg) organisaties beter en sneller te helpen met het optimaal ondersteunen van de informatiebeveiligingstrajecten die vaak worden voorgeschreven door normenkaders zoals ISO 27001, ISO 27001, BIO, NEN 7510. Vooral in deze (corona) tijden is het belangrijk om digitale processen waaronder de informatiebeveiliging op orde te hebben.
Adviseren over en informatiebeveiliging inrichten bij klanten doet Innervate al jaren succesvol. Dat kan met en zonder tooling. Of met gebruikmaking van bestaande systemen waarover klanten reeds beschikken. Echter met Key2Control kan het sneller geïmplementeerd en nadien perfect geborgd worden. Belangrijke normenkaders zitten er standaard in, zoals: ISO 27001, 27002, BIO versie 1 voor gemeentelijke overheden en Nen7510 uit 2017 voor de zorg. Met Key2Control heb je direct inzicht hoe het gesteld is met het informatiebeveiligingstraject. Afspraken kunnen bewaard worden, maar ook het volgen van de voortgang met bijvoorbeeld tussentijdse metingen. Innervate zorgt ervoor dat Key2Control goed geïmplementeerd wordt en de juiste invulling krijgt binnen organisaties. Hier hebben we al jaren ervaring in bij diverse zorginstellingen.
Key2Control biedt geautomatiseerde oplossingen op het gebied van Governance, Riskmanagement & Compliance (GRC). Key2Control is een volledig ‘web enabled’ (dus in de cloud) product dat als groot voordeel heeft dat het constant up te date is en makkelijk in gebruik.
Key2Control is nu het ‘leading’ product op de markt en wordt al door > 60 bedrijven en organisaties gebruikt. We zien dat steeds meer zorginstellingen versneld voor Key2Control kiezen. De interessante pricing en de optimale ondersteuning door Innervate geven de doorslag. Voor de zorginstellingen is het dan verleden tijd dat ze geconfronteerd worden met dure updates (nieuwe versies) of licenties zoals sommige Risk Management oplossingen met zich meebrengen.
Voor meer informatie: neem contact op met Roger Wigny, Directeur Innervate 043-358 1880 of [email protected] of Arie Hartog, Algemeen Directeur van Key2Control 06-57599235 of [email protected].
Over Key2Control
Key2Control stelt door haar aanpak en Cloud softwareoplossingen op het gebied van Governance, Riskmanagement & Compliance opdrachtgevers in staat zich continu én met succes aan te passen aan de snel veranderende wereld van morgen. Door op elk moment van de dag inzicht te hebben in, en verantwoording af te kunnen leggen vanuit, inzichtelijke interne beheersprocessen.
Over Innervate
Innervate is de gepassioneerde IT adviespartner die al meer dan twintig jaar organisaties helpt met het proces van digitale transformatie. Wij vinden dat iedere organisatie het verdient om klaar te zijn voor de toekomst van morgen. Onze diensten zijn gericht op IT Technology, Information Management, IT Compliance & Security, Software Consultancy en Innovatie. We hebben ruime ervaring bij verscheidene organisaties, o.a in de zorgbranche, waar we de taal spreken tussen business en techniek en we begrijpen de ontwikkelingen en dynamiek in dit krachtenveld.
Posted on by
in
Nieuws with
no commentsDe aankomende rechtmatigheidsverantwoording vanaf verslagjaar 2021 is bij uitstek geschikt om over te stappen naar integrale interne beheersing en afscheid te nemen van het denken en handelen in silo’s omdat silo’s tot verkokering leiden en nimmer tot een volwassen beheersorganisatie. Doorgaan met afzonderlijke silobeheersing betekent blijven aanmodderen met veelal hoge (verborgen) beheerskosten en dat past niet meer in deze tijd van vergaande digitalisering, complexe beheersvraagstukken, reputatieschade en toenemende verantwoordingsdruk op allerlei thema’s.
door drs. Gerrit Goud RA
Herkent u zich in bovenstaande tekst en in de pilaren zoals gevisualiseerd waarbij elke pilaar vanuit afzonderlijke beleidsdocumenten worden opgetuigd en niet in alle gevallen de aandacht krijgt die het werkelijk verdient? Zoals bijvoorbeeld de CISO die er alleen voor staat en worstelt met verantwoordelijkheden en eigenaarschap in de 1e verdedigingslijn, terwijl hetzelfde probleem zich voordoet bij de privacy officer en controller vanuit zijn (financiele) rechtmatigheidsdomein. Dat gaat de CISO in zijn eentje niet lukken. Daarvoor zijn krachten nodig vanuit een hogere macht.
Om die krachten te mobiliseren is vanuit interne beheersing een omslag nodig door niet meer te handelen vanuit afzonderlijke silo’s maar juist de verbinding en samenwerking te zoeken tussen de verschillende disciplines. De afzonderlijke ‘poortwachters’ in de 2e verdedigingslijn behoren te gaan samenwerken en hun krachten te bundelen door als team naar buiten te treden in plaats van afzonderlijke individuen. Als team sta je immers sterker en kan de boodschap waarom bepaalde beheersmaatregelen noodzakelijk zijn beter worden onderbouwd. Zo ook geldt dit voor bedrijfsprocessen die aan een of meerdere thema’s moeten voldoen en dan heeft een integrale benadering de voorkeur op een silobenadering. Voor de goede orde, verticaal themabeleid blijft noodzakelijk alleen als fundament voor interne beheersing is een horizontale benadering nodig en dat laatste ontbreekt bij veel gemeenten. Weliswaar is er een verordening financieel beleid bij gemeenten maar die is verticaal gericht en daarmee qua scope te beperkt.
Verandering vereist wel visie, ambitie en beleid vanuit de top gericht op integrale interne beheersing met een stip op de horizon. Daarvoor is voorbereiding en een zorgvuldige opbouw nodig om de top te overtuigen van nut en noodzaak ten aanzien van integrale interne beheersing. De focus is dan vooral gericht op een beheersorganisatie vanuit het principe van three lines of defence (3LOD) waarmee elk gewenst thema kan worden beheerst. En dan gaat het niet zozeer om de inhoud die verticaal geregeld is, maar juist om de bouwstenen van interne beheersing (zie eerdere blogs) en het daarmee in continuïteit borgen van deze inhoud. En die aanpak biedt kansen tot kwaliteitsverbetering en tot aanzienlijke kostenbesparingen op interne beheersing. Daarvoor is wel een integraal intern beheersingssysteem nodig om synergievoordelen te realiseren en is er geen ruimte voor verticale thema-oplossingen die hooguit leiden tot suboptimalisatie.
Uiteraard vergt dit investeringen maar die verdienen zich dubbel en dwars terug. Ga maar eens na hoeveel fte en externe inhuur zich thans bezighoudt met interne beheersing en in veel gevallen ingezet wordt om (helaas) achteraf te repareren in plaats van vooruit te kijken en continu te verbeteren. Dat kan beter, slimmer en goedkoper door onder meer gebruik te maken van onze GRC-software als integraal intern beheersingssysteem.
De voordelen van integrale interne beheersing zijn inmens maar komen niet vanzelf. Daarvoor is zoals eerder aangegeven visie, ambitie en beleid nodig en dat begint bij de top. Het interessante is dat de kans hiertoe fors is toegenomen vanwege de aankomende rechtmatigheidsverantwoording vanaf verslagjaar 2021 die behoorlijke gevolgen heeft op de beheersorganisatie. Ook het college en de directie zijn hierbij aan zet en die zoeken garantie dat de interne beheersing op orde is en dat dit als zodanig kan worden aangetoond. In dat kader is het van belang dat de concerncontroller vanuit zijn rol om vooruit te kijken het initiatief naar zich toetrekt. Vanuit dat initiatief kan de basis gelegd worden voor integrale interne beheersing en tegelijk het einde worden ingeluid van de silobenadering.
Wij hebben voor dit transitieproces een stappenplan opgesteld, te beginnen met een Quick Scan Rechtmatigheid (QSR) die we in een vorige blog onder de aandacht hebben gebracht en waarmee inmiddels diverse klanten hun voordeel doen. Wij kunnen u begeleiden in dit transitieproces met onze kennis en expertise op het gebied van intergrale interne beheersing.
Bent u geïnteresseerd in onze Quick Scan Rechtmatigheid en wilt u meer weten over onze aanpak over integrale interne beheersing, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.
Posted on by
in
Nieuws with
no commentsdoor drs. Gerrit Goud RA
Vanaf 2022 dienen gemeenten via een rechtmatigheidsverklaring verantwoording af te leggen aan de gemeenteraad over het verslagjaar 2021. In mijn gesprekken met gemeenten krijg ik veel vragen zoals, hoe krijg ik snel in beeld waar mijn organisatie staat als het gaat om interne beheersing? Waar beginnen we? En vooral hoe pakken we het aan om op tijd klaar te zijn? Vorige maand heeft Key2Control daarom de QuickScan Rechtmatigheidsverantwoording (QSR) geïntroduceerd, speciaal voor gemeenten. Deze QSR geeft de afdeling concerncontrol inzicht op maat in hun eigen transitie naar rechtmatigheidsverantwoording en biedt direct een perspectief op basis van een stappenplan om dat tijdig te organiseren.
De QSR is opgebouwd uit ca 70 vragen. Deze vragen worden in een workshop van één dagdeel gezamenlijk besproken en beantwoord. Aan het einde van de workshop is direct een eerste resultaat (grafisch) zichtbaar waar de organisatie staat op het gebied van interne beheersing. Enkele dagen na de workshop wordt een managementrapportage opgeleverd met daarin een uitgebreide argumentatie op de scores voorzien van een eerste conclusie. Dit rapport is een belangrijke eerste stap naar de rechtmatigheidsverantwoording. Het rapport biedt voldoende aanknopingspunten voor vervolgstappen met aandacht voor de directie, het college en de raad en is voorzien van een heldere toelichting op de onderdelen van interne beheersing.
Afgelopen maand zijn direct al enkele QSR’s uitgevoerd en is de eerste rapportage al opgeleverd.
“De directe meerwaarde voor mij is dat ik nu iets in handen heb waarmee ik een concreet gesprek kan aangaan met directe en College om een visie en ambitiedocument op te stellen rondom interne beheersing.”
Concerncontroller (Gemeente 58.000 inwoners)
De voorbereidingen op de rechtmatigheidsverantwoording is het halve werk. De QSR stelt de concerncontroller in staat het tijdspad naar een implementatieplan te verkorten zodat meer tijd beschikbaar is voor de daadwerkelijke implementatie. Voor de concerncontroller waar het initiatief ligt voor het treffen van voorbereidingen, is de QSR bij uitstek een handig hulpmiddel. Bent u geïnteresseerd in onze QSR en ook in de te nemen vervolgstappen en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.
Posted on by
in
Nieuws with
no commentsEen vergelijking tussen de boekenkast, de ballenbak en de bunker – deel 2/2
Door Bart Suers, MScBA
Digitale informatie wordt door overheidsorganisaties steeds vaker gebruikt om te dienen als bewijs om gevraagd of ongevraagd verantwoording af te leggen over het handelen van de organisatie. Zo wordt digitale informatie bijvoorbeeld gebruikt om de mate van interne beheersing aan te tonen. Dan is het dus extra belangrijk dat er ook aantoonbare grip is op de uitvoeringskwaliteit van het informatiebeheer. Het organiseren van de kwaliteit van informatiebeheer kent natuurlijk vele verschijningsvormen. Het is telkens weer onderwerp van het gesprek dat ik voer met overheidsorganisaties over integrale interne beheersing In een tweetal blogartikelen behandel ik drie van deze verschijningsvormen en benoem een aantal aspecten die van belang zijn als het gaat om het organiseren van de kwaliteit van informatiebeheer. Vandaag deel 2.
De Ballenbak
Wat hebben een ballenbak, boekenkast en bunker met elkaar gemeen? In mijn eerste blog heb ik uiteengezet waarom SharePoint een boekenkast is die als digitaal opslagsysteem handig is maar wel forse beperkingen heeft als het gaat om het archiveren van aantoonbare onweerlegbare bewijslast. De ballenbak kent in tegenstelling tot de boekenkast geen ordening van informatie op basis van een bewerkelijke vooraf of volgtijdelijke te creëren routestructuur maar gaat uit van een metadataschema. Meer over wat metadata is en waarom dit belangrijk is in mijn vorige blog. Belangrijk om te vermelden is dat niet de plek waar informatie bewaard, beheerd of vindbaar is centraal staat maar de unieke eigenschappen van een informatieobject bepalen hoe informatie wordt bewaard, hoe lang en wie toegang heeft bijvoorbeeld. Stelt u zich de bekende ballenbak voor bij de Zweedse designmeubelenwinkel. Op elke bal (lees informatieobject) zijn een reeks stickers geplakt. Elke sticker is een metagegeven. Samen vormt een reeks stickers per bal een unieke combinatie. Ordening zoals in een boekenkast is niet nodig, het is een kwestie van graaien in de bak totdat je de juiste bal hebt gevonden. En om in die bak te komen moet je wel door een gecontroleerde ingang naar binnen.
Het RMA/DMS
Een Records Management Applicatie en Document Managementsysteem combineert de toegang, het bestickeren en beheren van die balen. Dat betekent dat elke gebruiker dus ook systeemgebruikers niet zelfstandig kunnen graaien in de ballenbak zijnde het RMA/DMS maar hun zoekvragen stellen aan de ingang van het RMA/DMS. In tegenstelling tot de boekenkast kent een RMA/DMS dus een loketfunctie om toegang te krijgen tot informatie. Een RMA/DMS wordt veelal als organisatiebreed systeem gebruikt voor de neerslag van alle (archiefwaardige) informatie. En deze loketfunctie visualiseert de governance die nodig is; de structuur voor de inrichting van een archiefwaardige opslag, en de compliance omdat er wordt voldaan aan Nederlandse wet- en regelgeving. Er is dus ook sprake van een duidelijke poortwachter die tot doel heeft om de informatie integriteit te waarborgen. En dat biedt een belangrijk voordeel als het gaat om het aantonen van de onweerlegbaarheid van de bewijslast. Informatie die van vitaal belang is om het handelen en presteren van de organisatie gevraagd of ongevraagd te beantwoorden, kan dus prima veilig in een RMA/DMS worden opgeborgen. De inspanning van de auditor kan zich beperken tot de poortwachter. Als er bij de poortwachter geen onrechtmatigheden worden gevonden door de auditor dan kunt u stellen dat uw organisatie voor wat betreft de interne beheersing van de kwaliteit van uw informatievoorziening al een flinke stap heeft gezet. Vaak is een extra maatwerk of configuratie en zelfs certificering overbodig als u kiest voor een leverancier die het RMA/DMS al heeft laten certificeren.
De Bunker
De Bunker is dan misschien de meest verheven vorm zult u denken? Tot op zekere hoogte want ook hier krijgen informatie integriteit en toegang weer extra aandacht. Het kenmerk van een bunker is natuurlijk dat het niet zoals een boekenkast (SharePoint) gebruiksvriendelijkheid centraal stelt of zoals bij een ballenbak (RMA/DMS) zich sterk richt op de aantoonbaarheid van informatie integriteit. De Bunker stelt de allerhoogste eisen als het gaat om behoud en integriteit van informatieobjecten die gebruikt worden voor een specifiek doel. Bij vitale informatie die te allen tijden als onweerlegbare auditbewijslast moet kunnen worden overlegd, gevraagd of ongevraagd kan geen twijfel bestaan over de mate waarin deze informatie continu toegankelijk, authentiek en bruikbaar is. Dat betekent dat de beveiliging van deze informatie moet voldoen aan de allerhoogste standaarden en dat zelfs de poortwachtersfunctie is teruggeschroefd van een loket naar een sleutel op de deur. Informatie wordt virtueel achter slot en grendel gelegd; alle informatieobjecten inclusief metadata worden versleuteld in een database opgeslagen. Zonder een juiste sleutel, geen toegang tot de data en ook geen mogelijkheid om met die data iets te doen mocht er ongewenst toegang worden verkregen tot die informatie. Daar waar het gaat om het beheren van onweerlegbare auditbewijslast is decentrale opslag van deze informatieobjecten de beste optie.
GRC-applicatie
Een GRC-applicatie wordt gebruikt om aantoonbaar in control te geraken over de kwaliteit van interne beheersprocessen. In deze blogreeks gaat het over het waarborgen van de kwaliteit van informatie en de plek waar je dit het beste kunt beheren. De GRC-applicatie kan als een bunker worden beschouwd daar waar het gaat om het auditproof dus onweerlegbaar kunnen aantonen van de bewijslast die nodig is om in control te zijn. Door informatie versleuteld te bewaren en te beheren wordt direct de auditlast verlaagt. En dat is nodig omdat de auditlast voor overheidsinstellingen alleen maar is toegenomen de afgelopen jaren. Denk aan de AVG (privacybescherming) en de BIO (informatiebeveiliging) bijvoorbeeld. Daarnaast verschijnt de Wet Open Overheid aan de audithorizon vermoedelijk volgend jaar en zal ook de rechtmatigheidsverantwoording in 2021 haar schaduw vooruitwerpen. Steeds meer overheidsorganisaties zien de noodzaak om de interne beheersing van de kwaliteit en verbetering van bedrijfsprocessen onder te brengen in een systeem waarin Governance, Risk en Compliance (GRC) integraal worden bediend voor de gehele organisatie. Die noodzaak komt dus primair vanuit de toename van de omvang van interne beheersing maar ook als gevolg van het moeten managen van alle relevante beheersactiviteiten. Daarbij komt ook nog een (jaarlijks) cyclisch proces waardoor je als overheidsorganisatie voldoende conditie moet opbouwen om in een ritme te komen waarin interne beheersing op een effectieve en efficiënte manier wordt benaderd.
Conclusie
Elke organisatie wil kunnen beschikken over vitale informatie om aantoonbaar in control te zijn over de eigen interne beheersprocessen. Het liefst integraal en ook tegen lagere kosten en hogere kwaliteit. Dan is de keuze voor het bewaren en beheren van informatie die gebruikt wordt als onweerlegbare bewijslast een keuze met grote impact. Bovenstaand is die impact schematisch nog eens samengevat.
Kiest u voor een organisatiebreed gebruikte ballenbak zoals een RMA/DMS of toch liever voor de taakspecifieke bunker van de GRC-applicatie om uw bewijslast te bewaren. In tegenstelling tot de conclusie uit mijn 1e blog is dit geen keuze tussen 2 kwaden maar een keuze die gemaakt moet worden vanuit uw eigen organisatiecontext; wat sluit het beste aan bij het volwassenheidsniveau én ambitie van uw organisatie als het gaat om de interne beheersing van de kwaliteit van informatiebeheer. Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt. 
