Terug naar JARENLANGE EXPERTISE

De juiste balans tussen hard en soft controls vinden voor een efficiënte beheersing

Om te zorgen dat iedereen zich binnen een organisatie aan de regels houdt, zijn controls onontbeerlijk. Hard controls zijn feitelijke controles en zijn makkelijk te controleren. Maar soft controls, die zijn wat lastiger te bevatten. CorporatieGids.nl sprak met Gert Jan Diebels, Senior Financieel Economisch Medewerker bij Woonstichting De Kernen, over het borgen van soft controls en het vinden van de juiste balans met hard controls om risicomanagement efficiënt te houden.

De Kernen is drie jaar geleden begonnen met het formaliseren van haar risicomanagement door het schrijven van een nieuw beheersingskader, begint Gert Jan: “Daarin hebben we formeel uitgeschreven hoe we willen dat ons risicomanagement werkt. Er gebeurde al veel: we hadden al processen beschreven en voerden audits op die processen uit. Met het kader hebben we alles in lijn met elkaar gebracht. Het belangrijkste van dit raamwerk is het bekende three lines of defence-model.”

Vrijheden

Een van de grote krachten van risicomanagement binnen de Kernen noemt Gert Jan de vrijheden die medewerkers krijgen in hun werk. “De keerzijde daarvan is dat het risicoteam extra veel tijd en energie moeten steken in het borgen dat alles volgens de externe en interne regels verloopt. De bedoeling van ons risicomanagement is dat er operationeel heel veel vrijheden worden ervaren zodat slagvaardig kan worden gehandeld en dat het zwaartepunt van de controle juist bij de afdeling bedrijfsvoering ligt. We proberen zo min mogelijk bureaucratie in onze primaire processen in te bedden.”

In iedere vezel

Uiteindelijk moet risicomanagement in elke vezel van de organisatie zichtbaar zijn, vervolgt Gert Jan: “Bijvoorbeeld op directieniveau door de betrokkenheid van de directie in het risicoteam en door drie keer per jaar de strategische risico’s met ons te bespreken. Op operationeel niveau door bijvoorbeeld audits uit te voeren op de primaire processen en daarover periodiek met de betrokken medewerkers in gesprek te gaan. De belangrijkste succesfactor is dat risicomanagement is geïntegreerd in alle processen en lagen van de organisatie. We hebben de risico’s en beheersing verwerkt in al onze processen. Onze scenario’s in de begroting zijn gebaseerd op onze strategische risico’s, we hebben een risicoteam waarin we periodiek over risico’s spreken en rapporteren hier naast onze jaarrekening drie keer per jaar over. Dit zorgt voor blijvende focus op risico’s bij het management en doordat je met vrijwel alle medewerkers hierover praat, blijven ook alle risico’s in kaart.”

Zelfstandig handelen ondersteunen

Een goede balans tussen de harde en zachte controls zijn volgens Gert Jan essentieel: “Wij hebben bijvoorbeeld als belangrijk uitgangspunt bij de procuratie dat medewerkers zeer ruime bevoegdheden hebben om zelfstandig opdrachten te verlenen. Wij hanteren hierbij echter ook het vier-ogen-principe. Omdat we nogal wars zijn van parafen en handtekeningen, vertrouwen we erop dat dit gebeurt. Maar dat is niet feitelijk te controleren. Een belangrijke soft control is om te ondervinden of dit in voldoende mate gebeurt.”

“Met de hard controls toetsen we in zo’n proces of de juiste medewerker digitaal akkoord heeft gegeven op een factuur. Binnen de soft controls toetsen we daarnaast of er voldoende argumenten zijn uitgewisseld met vakcollega’s of integer is gehandeld bij de opdrachtverlening.”

Nieuwe software

Gert Jan geeft een voorbeeld: “Stel je voor dat een medewerker een nieuw softwarepakket wil gebruiken. Daar moeten uiteindelijk ook andere collega’s mee werken. Hij schaft het pakket aan, het valt binnen zijn procuratie en tekent digitaal de opdracht en later de factuur. De hard controls zijn dus akkoord. Echter is dit niet overlegd met anderen, is er geen draagvlak en het pakket wordt niet of onvoldoende gebruikt. De ‘zachte kant’ is daarmee niet goed gegaan. De soft controls hebben niet gewerkt.”

Risicobeheersing sluiten

Om zeker te zijn dat de zachte, menselijke kant ook goed functioneert, richt de Kernen zich op het meten van de soft controls. “We willen kijken of medewerkers bijvoorbeeld drempels ervaren om iets te melden, of er sprake is van voorbeeldgedrag van bovenaf en of de noodzakelijke soft controls daadwerkelijk worden uitgevoerd. Het doel is dat de risicobeheersing hiermee zo sluitend mogelijk wordt gemaakt. We zijn ervan overtuigd dat incidenten nog steeds kunnen gebeuren, maar proberen de kans hierop zoveel mogelijk te minimaliseren.”

Nulmeting

De corporatie heeft daarom de handen ineen geslagen met Hofmeier: “Sander van Hoek en Wobbe van der Meulen hebben ons geholpen met het opstellen van een maatwerkformat waarmee we de soft controls kunnen auditen. Samen met Hofmeier hebben we daarnaast een nulmeting uitgevoerd waarmee we weten waar we nu staan. Door het opstellen van het format hebben we er daarnaast voor gezorgd dat onze controller deze meting een volgende keer zelf kan uitvoeren.”

Verbeterpunten oppakken

De komende periode staat in het teken van het oppakken van de verbeterpunten uit de nulmeting, sluit Gert Jan af: “We willen graag de aandachtspunten uit de soft control-audit oppakken en hiervan leren en onszelf verbeteren. Daarnaast willen we de komende periode blijven bekijken dat de energie die we steken in risicomanagement in verhouding blijft met de risico’s. In de komende periode gaan we daarom ook weer kijken of enkele hard controls kunnen worden afgeschaald. Anders wordt risicomanagement een ‘Paarse Krokodil’, en dat is natuurlijk het laatste wat we bij De Kernen willen.”

Wilt u weten op welke instrumenten u kunt inzetten om binnen uw corporatie te werken aan de soft skills?
Neem dan contact op met Wobbe van der Meulen.

Bron: CorporatieMedia juli 2021

Voornaam*
Achternaam*
Velden met * zijn verplicht
Hidden
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.