Skip to main content

Themes

Digital / IT Transformation
Governance Risk & Compliance

De spagaat van internationale complianceprojecten

Van 'push' naar 'pull' om rendement te halen uit compliance-initiatieven

Stelt u zich eens voor dat u als projectverantwoordelijke een door corporate geïnitieerd internationaal project dient te managen waarvan de bedrijfsonderdelen het nut initieel niet inzien en het vooral zien als een instrument van corporate om meer invloed uit te oefenen dan nodig, terwijl u bij voorbaat al kwaliteitsconcessies moet doen vanwege tijdsdruk. Een project gedoemd om te mislukken. Toch is dit vaak de omgeving waarin projecten als Sarbanes-Oxley of Tabaksblat uitgevoerd dienen te worden (of reeds zijn uitgevoerd) en waarbij falen eigenlijk geen optie is. In dit artikel wordt van een tweejarig internationaal complianceproject binnen DSM aangegeven wat de succesfactoren waren en wat beter had gekund. Het artikel is ook relevant voor organisaties die de eerste stappen op het gebied van Sarbanes-Oxley hebben gezet en nu druk doende zijn om of de ‘total costs of compliance’ te verlagen of om in de slipstream van de complianceboodschap processtandaardisatie- of -verbetering door te voeren.[De auteurs bedanken de heer R. van Beekum (DSM Corporate Risk Management) voor zijn bijdrage aan dit artikel.]

Inleiding

Doel van dit artikel is de lezer inzicht te geven in de succesfactoren van een internationaal complianceproject en handvatten te bieden voor een succesvolle, door corporate gedreven uitvoering ervan. Daarbij is de te hanteren projectstijl de meest kritische succesfactor. Dit is vooral van belang omdat de implementatie van de corporatestrategie steeds vaker door middel van projecten wordt gerealiseerd ([Donk05]).

Complexe internationale projecten

Complexe internationale projecten worden in dit artikel gedefinieerd als projecten die vanuit de holding worden geïnitieerd en op internationale schaal worden uitgevoerd in de verschillende bedrijfsonderdelen (divisies, businessunits). Internationaal betekent in dit artikel dat de bedrijfsonderdelen divers zijn in markten, producten en technologieën, regionaal gespreid (afstand tot de holding) en verschillend in volwassenheid met betrekking tot het onderwerp van het project. De complexiteit refereert aan de verhouding tussen corporate en de bedrijfsonderdelen en de eisen aan de projectbeheersing. De volgende projecten zijn voorbeelden van complexe internationale projecten:

  • wereldwijde complianceprojecten, met als doel om te voldoen aan wetgeving zoals Sarbanes-Oxley;
  • concernbrede standaardisatie en harmonisatie van bedrijfsprocessen in het kader van ‘operational excellence’ en/of met als doel processen te centraliseren in shared service centra;
  • het wereldwijd uitrollen van een standaardinformatiesysteem, met als doel de uitvoering van de processen en/of de procesbeheersing te verbeteren en/of het applicatielandschap te rationaliseren;
  • special focus-projecten, met als doel om bijvoorbeeld wereldwijd de inkoopkosten terug te brengen, de winstgevendheid te verbeteren of de personeelsomvang te reduceren;
  • het wereldwijd uitrollen van een standaard technische infrastructuur, zoals bijvoorbeeld een standaard-desktop, waardoor deze remote kan worden beheerd;
  • het collectief veranderen van gedrag, bijvoorbeeld op het gebied van veiligheid, onderling respect, innovatie, compliance of klantbewustzijn. De implementatie van organisatiespecifieke, expliciet vastgelegde en gecommuniceerde ‘waarden’ van de organisatie staat daarin vaak centraal.

Bovenstaande projecten kunnen verschillen in de omvang van de organisatie die ‘geraakt’ moet worden en de diepgang van de verandering die tot stand moet worden gebracht. Dit zijn belangrijke factoren bij het kiezen van de juiste projectstijl.

Spanningsveld van corporateprojecten

Waarom leveren corporate projecten spanning op, en waarom geldt dat voor complianceprojecten in het bijzonder?

  • Corporate wenst invloed uit te oefenen op het reilen en zeilen van de bedrijfsonderdelen. In elke hiërarchische relatie zal, zodra een meerdere zich bemoeit met een ondergeschikte, de ondergeschikte zich minder direct verantwoordelijk voelen voor het eindresultaat. Hij/zij is namelijk niet zelf volledig in staat het eindresultaat te bepalen. Zo werkt het ook in de verhouding tussen de holding en de afzonderlijke bedrijfsonderdelen. Zodra de holding zich gaat bemoeien met de ‘business’, dan voelt het management van de onderliggende bedrijfsonderdelen zich minder verantwoordelijk voor het eindresultaat.
  • De toegevoegde waarde van compliance staat ter discussie, er zijn vaak geen directe baten te verbinden aan het voldoen aan regels en wetten. Zeker het voldoen aan Sarbanes-Oxley en Tabaksblat wordt vaak negatief in verband gebracht met de bedrijfsprestaties en het innoverend vermogen ([HFD04]).
  • Compliancewetgeving is gelijk voor elk bedrijfsonderdeel, vaak onafhankelijk van geografische locatie. Daarnaast maken complianceregels geen onderscheid tussen bedrijfsonderdelen die qua levenscyclus in een oogstfase of in een consolidatiefase zitten. Ook voor het volwassenheidsniveau van een unit op het gebied van interne controle maken de regels geen onderscheid. Dit betekent dat een gelijke set van regels voor diverse typen units moet worden geïmplementeerd.
  • De wet, zoals Sarbanes-Oxley, stelt de deadline vast waarop het ‘project’ dient te zijn afgerond. Daardoor kan vaak niet gekozen worden voor de optimale oplossing. Zo hebben veel organisaties als primair doel gesteld om eerst, kost wat kost, compliant te worden en pas daarna ‘het compliant zijn en blijven’ te optimaliseren. Ook wordt de scope van de complianceprojecten in beginsel vaak zo nauw mogelijk gedefinieerd, al was het bijvoorbeeld efficiënter geweest om naast de beheersing van de financiële rapportageprocessen ook meteen meer beheersing in de logistieke processen te realiseren.

Verderop in dit artikel zal worden aangegeven welke invloed de afstemming van projectaanpak en projectmanagementstijl heeft op de mate waarin de spanning oploopt.

Corporate-projectstijl: ‘push’ of ‘pull’

Een holdingorganisatie kan op meerdere wijzen invloed uitoefenen op de afzonderlijke bedrijfsonderdelen om de corporatestrategie te realiseren. Invloed uitoefenen door de holding op bedrijfsonderdelen (of, meer in het algemeen, van meerderen op ondergeschikten) kan volgens Merchant ([Merch03]) door middel van een mix van vier typen controlesystemen:

  1. Resultaatgericht. De holding vereist van de onderliggende units dat er een bepaald resultaat wordt gehaald. Het hoe staat niet ter discussie. De gewenste formeel overeengekomen resultaten kunnen financieel of niet financieel van aard zijn en worden door middel van kritische prestatie-indicatoren gecommuniceerd. Het gebruik van balanced scorecards om de performance te monitoren en te rapporteren is een bekend instrument. Het voordeel is dat de onderliggende units zelf verantwoordelijkheid kunnen nemen voor hoe zij de doelstellingen wensen te realiseren.
  2. Actiegericht. De holding schrijft voor hoe bepaalde activiteiten dienen te worden uitgevoerd. Denk aan procedures, richtlijnen, beleid maar ook voorgeconfigureerde informatiesystemen met applicatiecontroles en autorisaties. Het resultaat staat niet centraal, maar de wijze van uitvoering (het hoe) wel.
  3. Persoonsgericht. Door middel van werving en selectie, job rotation en vergaande training wordt gerealiseerd dat de juiste man/vrouw op de juiste plek terecht komt en dat hij/zij ervoor zorgt dat de gewenste plannen worden uitgevoerd, niet alleen qua inhoud en kennis maar ook qua vaardigheden en stijl.
  4. Cultuurgericht. Een omgeving wordt gerealiseerd, waarin door waarden en normen een gewenst gedrag wordt afgedwongen. Dit kan door de stijl van het management desgewenst te veranderen door correctief op te treden bij ongewenst gedrag, gewenst gedrag te stimuleren en te belonen, en bijvoorbeeld teamprestaties expliciet te waarderen.

De zojuist genoemde controlesystemen kan men ook projecteren op de aanpak van corporateprojecten zoals die vanuit een centraal Project Management Office (hierna PMO) ([Donk02]) kunnen worden geïnitieerd. De resultaat- en de actiegerichte projectaanpak zijn bij corporateprojecten de meest voorkomende typen.

Bij de resultaatgerichte aanpak zal de holding slechts het gewenste resultaat en tijdstip van realisatie noemen en zal zij de realisatiewijze grotendeels aan de bedrijfsonderdelen overlaten, inclusief de inhuur van derden en de keuze van de procesinrichting, de bijbehorende informatiesystemen en de te gebruiken tools. Natuurlijk maakt de holding wel vooraf de consequenties duidelijk bij het niet of niet tijdig realiseren van de doelstellingen. De holding stelt dan mogelijk centraal budget beschikbaar en op basis van de plannen van de afzonderlijke bedrijfsonderdelen beslist het PMO of er wel of geen geld gegeven wordt. De organisatieonderdelen met de plannen die het meest aansluiten bij de wensen van de holding krijgen de grootste financiële ondersteuning. Het PMO heeft bij een dergelijke aanpak primair een coördinerende rol: het beoordeelt de plannen en toetst de uitvoering. De volgens deze aanpak uitgevoerde projecten worden in dit artikel ‘pull’-projecten genoemd, omdat de holding aan de organisatieonderdelen ‘trekt’ om te komen met een aanpak die ze zelf wenselijk acht.

De andere mogelijkheid is dat de centrale organisatie zelf een zware projectorganisatie optuigt en de bedrijfsonderdelen langs gaat om het project uit te voeren. Van de bedrijfsonderdelen wordt dan verwacht dat zij tijd en resources vrijmaken en actief participeren. Dit type projecten wordt in dit artikel ‘push’-projecten genoemd, aangezien de centrale organisatie op basis van haar prioriteiten, resourceplanning en wensen bepaalt wanneer het organisatieonderdeel aan de beurt is, hoe het project wordt uitgevoerd en wat van haar wordt verwacht. In een puur ‘push’-project neemt de holding de verantwoordelijkheid van het resultaat van het project over van de afzonderlijke bedrijfsonderdelen. Pure ‘push’-projecten zijn bijvoorbeeld infrastructurele projecten op het gebied van standaard-desktop.

Beide controlesystemen (resultaat, acties) hebben hun specifieke neveneffecten. Bekende neveneffecten van een ‘internationale’ resultaatgebaseerde projectaanpak (‘pull’) zijn:

  • Controllability principle. Indien projectmanagers worden beoordeeld op de projectresultaten van een onderdeel, terwijl ze niet alle aspecten binnen dat onderdeel die van invloed zijn op de projectvoortgang kunnen beïnvloeden, kan risicoavers gedrag worden gestimuleerd. Dit wordt ook wel het ‘controllability principle’ genoemd. Dit neveneffect kan optreden zodra een projectmanager in zijn resultaat afhankelijk wordt van bijvoorbeeld de medewerking van de leiding van een bedrijfsonderdeel, zonder dat hij/zij mandaat heeft haar te corrigeren.
  • Negatieve houding. Indien de relatie tussen het resultaat en de beloning onduidelijk is, kan dit tot frustraties leiden, wat een negatieve houding van de projectmanagers tot gevolg kan hebben en/of kan leiden tot ongewenst handelen.
  • Suboptimalisatie. Dit is een neveneffect dat valt onder de term ‘behavioral displacement’. De projectmanager streeft dan naar het maximale voor zijn eigen verantwoordelijkheidsgebied en niet voor dat van de gehele organisatie. Dit verschijnsel kan optreden bij projecten waarbij de projectverantwoordelijkheid bijvoorbeeld ligt op het niveau van de afzonderlijke bedrijfsonderdelen, hetgeen bij ‘pull’-projecten vaak het geval is. De projectmanagers per onderdeel kunnen dan beslissingen nemen die beter zijn voor hun eigen onderdeel dan voor de gehele organisatie, of kunnen het delen van best practices achterwege laten.

Aan projecten die sterk ‘push’-gericht zijn, ligt vaak een gedetailleerd ‘roll-out script’ ten grondslag. Hierin staat exact beschreven wie wat wanneer en op welke wijze moet opleveren. Bekende neveneffecten van een ‘internationale’ actiegerichte projectaanpak (‘push’) zijn:

  • Afstompen/inflexibiliteit. De corporate-projectmanager blijft vasthouden aan de projectaanpak, wars van lokale omstandigheden. Door het hoge actievoorschrijvende gehalte (procedures, instructies, plannen) wordt de creativiteit, het ‘out of the box’ denken afgestompt. Ook bij veranderende omstandigheden is de projectmanager of werkgroepleider niet in staat zich aan te passen. Omdat bij internationale projecten de bedrijfsonderdelen vaak veel van elkaar verschillen, kan dit neveneffect zeer nadelige gevolgen hebben voor het uiteindelijke resultaat.
  • Frustratie. Dit verschijnsel treedt op indien niet wordt begrepen waarom het project op deze wijze, met deze acties, wordt uitgerold. Het kan optreden bij de mensen in de bedrijfsonderdelen, maar ook bij de projectmedewerkers. In het laatste geval komt de frustratie voort uit het onvermogen zelf invloed te kunnen uitoefenen en eigen verantwoordelijkheid te kunnen nemen.
  • Vertraging. Indien in het project veel procedures moeten worden geïmplementeerd en verplichte besluiten moeten worden genomen, dan wordt het project gauw ‘stroperig’. Het ‘push’-project is zelf vaak ook aan sterke actiegerichte controls onderworpen. Wanneer het dan vertakt is over vele bedrijfsonderdelen kan een stroperige projectorganisatie voor veel vertraging zorgen. Zeker indien in een internationaal project bepaalde beslissingen alleen centraal mogen worden genomen.

Projectorganisatie voor ‘push’- en ‘pull’-projecten

Tabel 1 geeft op hoog niveau inzicht in de verschillen tussen ‘push’-, ‘pull’- en persoons/cultuurgerichte projecten. Elk project zal van alle drie systemen gebruikmaken, echter de accenten zullen verschillen.

C-2007-1-Vreeke-t1

Tabel 1. Verschillen tussen ‘push’- en ‘pull’-projecten. [Klik hier voor grotere afbeelding]

De keuze voor een ‘push’- of ‘pull’-aanpak zal leiden tot een ander type projectorganisatie. Ook zonder omvangrijk onderzoek te doen kan men inzien dat bij de organisaties die een ‘push’-aanpak kiezen het PMO ook de rol van ‘conflictmanagement’ zal moeten vervullen. Daar waar de organisatie kiest voor een ‘pull’-aanpak zal ‘consequentiemanagement’ één van zijn belangrijkste taken zijn. In beide gevallen zal de programmamanager van de Raad van Bestuur voldoende mandaat moeten krijgen om de bijbehorende rol te kunnen uitoefenen. Om zorg te dragen dat de wijze van uitrol niet tot onnodige weerstand leidt, zullen bij ‘push’-gerichte projecten ook deelnemers vanuit de onderliggende bedrijfsonderdelen in de stuurgroep vertegenwoordigd moeten zijn. Ze kunnen dan in een vroeg stadium meebeslissen over de wijze en timing van de uitrol. Commitment wordt dan via de formele besluitvormingsweg georganiseerd.

C-2007-1-Vreeke-t2

Tabel 2. Verschillen in de projectorganisatie bij ‘push’- en ‘pull’-projecten. [Klik hier voor grotere afbeelding]

De ‘push’- en ‘pull’-projecten kunnen op een continuüm worden geplaatst. Het internationale complianceproject van DSM, dat centraal staat in dit artikel, heeft de gulden middenweg bewandeld.

De spagaat van complianceprojecten

Doordat de wetgeving (1) de persoonlijke aansprakelijkheid van bestuurders raakt en (2) een harde deadline kent, hebben veel organisaties bewust een zodanige keuze gemaakt inzake de corporate-projectaanpak en de te installeren controls, dat deze niet de optimale zullen zijn voor de lange termijn. Die, door de spagaat tussen wat moet en wat wenselijk is, afgedwongen keuze leidt vaak tot:

  • een sterke ‘push’-aanpak van projecten;
  • suboptimalisatie in de ‘total costs of compliance’;
  • diversiteit in het gebruik van ondersteunende tools;
  • beperkte diepgang en reikwijdte van de controls
De ‘push’-aanpak van complianceprojecten

Vanuit risicomijdend oogpunt en gelet op de inhoud van de wet en codes hebben veel organisaties gekozen voor een zeer sterke ‘push’-benadering met een sterk instrumenteel karakter. ‘Push’-projecten hebben, zoals hierboven geschetst, als nadeel dat zij dwingend van aard zijn en weinig rekening kunnen houden met lokale omstandigheden. Het voordeel is dat er meer projectbeheersing is en dat centraal het tempo en het consistente eindresultaat worden bepaald. Om grip te houden wordt het standaard-implementatieplan verheven tot wet en staan het gewenste resultaat en de implementatiewijze vooraf vast. Het is echter geen geheim dat de effectiviteit van maatregelen, zoals het invoeren of wijzigen van procedures, bepaald wordt door de mensen die ze uitvoeren. En het is ook de mens die besluit gebruik te maken van achterdeuren of ‘work arounds’ bij geautomatiseerde controls. Daarnaast is het de mens die bewust of onbewust afwijkend gedrag vertoont of fouten maakt. Fouten op basis van zijn eigen tekortkoming of door tekortkomingen (zichtbaar of latent) in de omgeving waarin hij acteert. In een complianceproject moet je de factor ‘mens’, vaak via de bedrijfscultuur, raken wil je toekomstvast ‘compliant’ blijven. Kaptein en Klamer ([Kapt04]) geven in hun artikel ‘De implementatie van bedrijfscodes in Nederland’ aan dat zowel Enron als Worldcom beschikte over ‘een voortreffelijk geschreven bedrijfscode’. Maar het raken van de mens lukt via ‘pull’-projecten ontegenzeggelijk beter, omdat daar de wijze van uitvoering lokaal kan worden ingevuld en daarom lokaal beter kan worden aangesloten bij de geldende normen en waarden. Ook kan het verbeteren van de werkomgeving waarin het individu acteert in scope van het project worden genomen. De ‘pull’-aanpak is vele malen flexibeler én door het kunnen nemen van de eigen verantwoordelijkheid neemt de acceptatie toe.

Konden de organisaties die aan SOX moeten voldoen anders dan een sterke ‘push’-gerichte benadering kiezen? Nee, mogelijk niet; zoals reeds eerder gezegd is er de deadline en daarnaast de begrijpelijke wil van de holding om risico’s te vermijden. Dat laatste werd nog versterkt doordat de wet nog veel onduidelijkheden bevatte. Ook vereist de wet nu eenmaal dat veel instrumenteel toetsbare zaken, zoals het systeem van internecontrolemaatregelen, transparant moeten zijn opgezet en gerealiseerd, en dat de effectieve werking ervan moet kunnen worden bewezen. De kwaliteit van de ‘control environment’ daarentegen wordt niet echt hard in wetgeving en codes vastgelegd, ondanks het belang voor toekomstvast compliant gedrag. De keuze voor ‘push’-projecten, waarin de controlemaatregelen in de processen van de bedrijfsonderdelen worden doorgedrukt, is dan een logische keuze. Dat is echter nog geen reden om niet in aanvulling daarop via ‘pull’-technieken de attitude van de mens te veranderen en tevens de controls goed te verankeren in de bestaande kwaliteits- en managementsystemen van de diverse organisatieonderdelen.

Suboptimalisatie op het gebied van ‘total costs of compliance’

Een ander aspect dat tot uitdrukking komt in de complianceprojecten onder tijdsdruk is dat er vaak kwaliteitsconcessies zijn gedaan in de keuze van de controls. Het doel van complianceprojecten is het totaal van actiegerichte controls binnen het management-controlsysteem van de organisatie dusdanig in te richten (dus procedures, autorisaties, beleid, werkinstructies, systeemcontrols, rapportages, etc.), dat zekerheden toenemen over de betrouwbaarheid van de externe financiële rapportages. Vanuit het oogpunt van de ‘total costs of compliance’ dient de voorkeur te worden gegeven aan preventieve geautomatiseerde controls boven handmatige procedures. Deze zijn namelijk het meest stringent, met andere woorden met de implementatie van deze maatregelen is de kans dat de controledoelstelling wordt gerealiseerd het grootst. Eén van de kwaliteitsconcessies die organisaties vanwege tijdsdruk hebben gedaan, is echter om in het eerste SOX-jaar de meest simpele en goedkope controls in te richten qua opzet en initiële implementatie. Dit zijn vaak handmatige procedures. Deze controls kennen echter hoge kosten op het gebied van testen en onderhoud en bieden minder strakke waarborgen in vergelijking met geautomatiseerde controles. De inspanning om de effectiviteit van een control aan te tonen is bij geautomatiseerde controles (wijzigingsbeheer nalopen) veel minder dan bij handmatige procedures (steekproefsgewijze afloopcontroles). Na het eerste SOX-jaar zien wij organisaties dan ook stap voor stap de handmatige controles vervangen door geautomatiseerde controles. Een verschijnsel dat binnen KPMG ‘controls transformation’ wordt genoemd.

Suboptimalisatie op het gebied van ondersteunende tooling

Daarnaast hebben organisaties, om een naar hun perceptie langdurig selectietraject te vermijden, beperkt gebruikgemaakt van gespecialiseerde ondersteunende tools bij het ontwerpen, implementeren en testen van de controls. De toevlucht uit tijdnood genomen tot suboptimale tooling, zoals Microsoft Excel en Access, illustreert deze spagaat waarin veel organisaties verzeild zijn geraakt. Het gebruik van een suboptimale toolset betekent dat in de praktijk het testproces stroef verloopt, omdat de verplichte activiteiten op het gebied van vastlegging en bewijsverzameling zeer beperkt worden ondersteund. Daarnaast is het maken van rapportages over de status van de controls zonder goede tools vaak een tijdrovend en handmatig proces.

Suboptimalisatie op het gebied van de scope van de controls

Het vierde punt waaruit suboptimalisatie door de tijdsdruk blijkt, is de scope van de controls. Die is vaak zo nauw mogelijk gedefinieerd om zeker te zijn dat de implementatie van de wet tijdig werd gerealiseerd. Alleen die controls die in het kader van de financiële verslaggeving relevant zijn, werden vaak in scope van het project genomen. Ook al begrijpt eenieder dat in de slipstream uit efficiencyoogpunt beter direct een verbetering van de controls in andere processen had kunnen worden gerealiseerd ([Vree06]).

Casus: Succesfactoren van het internationale complianceproject van DSM

Het programma, True Blue geheten, waarvan de succesfactoren worden toegelicht, heeft in totaliteit twee jaar gelopen en is recentelijk afgerond. Het was het doel van het programma om de meeste bedrijfsonderdelen van het concern (totale omzet meer dan 8 miljard euro) compliant te maken met de nieuwe Corporate Requirements op het gebied van interne controle en de resterende onderdelen ervoor toe te rusten dat binnen een vastgestelde periode zelf te doen. Om de bedrijfsonderdelen hierbij te assisteren is een centrale projectorganisatie ingericht, bestaande uit enkele tientallen personen. Om de units op locatie te ondersteunen met het compliant raken zijn zogenaamde ‘flying squads’ opgericht en is een sterk centraal ‘methods & tooling center’ ingericht. In twee jaar zijn door de squads ongeveer vijftig bedrijfsonderdelen bezocht, waarbij als basis een on-site support periode van ongeveer twee maanden is genomen. Twee weken werden gereserveerd om de mate van compliancy vast te stellen, de rest van de tijd was voor het assisteren bij het repareren en het overdragen van de resultaten. De organisatiestructuur van het programma is weergegeven in figuur 1. In de stuurgroep zaten zowel vertegenwoordigers uit de Raad van Bestuur (CEO en CFO) als vertegenwoordigers van de bedrijfsonderdelen (divisiemanagement). De projectwerkzaamheden worden verderop in het artikel nader toegelicht.

C-2007-1-Vreeke-1

Figuur 1. Projectorganisatie.

De succesfactoren van het project worden aan de hand van de volgende aspecten toegelicht:

  • evenwicht tussen managementstijl en projectstijl;
  • programma- versus roll-out management;
  • gelaagdheid in requirements, flexibiliteit in compliance-eisen op detailniveau;
  • verpakken van de complianceboodschap;
  • roll-out script, compliance tracking & toolbox;
  • communicatie;
  • aandacht voor mens en gedrag;
  • gebruik van ondersteunende tools.

Evenwicht tussen corporate-managementstijl en corporate-projectstijl

Eén van de belangrijkste succesfactoren van het project is dat de centrale organisatie erin is geslaagd de balans te vinden tussen ‘push’ en ‘pull’. Ondanks dat er centraal een zwaar projectteam is opgericht, dat actief de verschillende bedrijfsonderdelen heeft ondersteund, is de verantwoordelijkheid voor het compliant raken niet door de centrale organisatie van het management van de afzonderlijke bedrijfsonderdelen overgenomen. Dit laatste is ook continu bevestigd door communicatie vanuit de Raad van Bestuur. Indien de bedrijfsonderdelen zelf niet optimaal profiteerden van de aanwezigheid van het flying squad, dan was dat hun eigen verantwoordelijkheid.

Om zorg te dragen voor een eenduidige interpretatie van wat compliant betekent, stond de wijze waarop de compliancemetingen werden gedaan en gemonitord vast (meten op resultaat = ‘pull’). Daarnaast lag echter ook de wijze waarop de gaps met de requirements moesten worden gedicht vast, inclusief de inhoud van het procesdesign van de daarvoor ondersteunende tools (sturen op activiteit = ‘push’). Daar waar activiteiten dienden te worden uitgevoerd om het compliancebewustzijn te veranderen, en hierdoor een blijvend resultaat te realiseren, konden de bedrijfsonderdelen weer veel meer hun eigen weg bewandelen. Een centraal ontwikkelde toolkit met posters, games, trainingen en video’s was aanwezig, maar hoe en op welke schaal daarvan gebruik te maken is aan de bedrijfsonderdelen zelf overgelaten. Er werden ook methoden aangereikt om de cultuurontwikkeling te meten en gedrag te corrigeren, maar ook deze waren niet verplicht. Op deze wijze werden de bedrijfsonderdelen gestimuleerd een persoons- en cultuurgerichte implementatiemethode te volgen waarbij rekening kon worden gehouden met de volwassenheid van de bestaande compliancecultuur en met andere specifieke ‘culturele’ aspecten van het bedrijfsonderdeel en de nationaliteit.

Tabel 3 geeft aan hoe het project de balans heeft gezocht tussen ‘push’ en ‘pull’ op de gebieden organisatie, proces en systemen.

C-2007-1-Vreeke-t3

Tabel 3. De balans tussen ‘push’ en ‘pull’ op enkele gebieden.

Ook in de projectuitvoering heeft het centrale management de gulden middenweg bewandeld. Er was een zeer gedetailleerd roll-out script en ook de lijst met requirements en gedetailleerde controls was omvangrijk (‘push’), maar de flying squads konden best van het script afwijken, na formeel overleg en goedkeuring van het programmamanagement (‘pull’).

Geconcludeerd kan worden dat de wijze van de corporate-projectaanpak aansluit bij de corporate-managementstijl van de DSM-organisatie als geheel. Ook daarin hebben de Business Groepen veel eigen verantwoordelijkheid ten aanzien van het resultaat, maar is er een corporate-invloed op de keuze van bijvoorbeeld de IT-systemen en worden corporate-initiatieven op het gebied van shared services afgedwongen. Ook daarin is er duidelijk een balans tussen ‘invloed uitoefenen’ en ‘eigen verantwoordelijkheid geven’ gevonden.

Programma- versus roll-out management

DSM beschikte op het moment van de implementatie van dit project nog niet over een PMO op corporate niveau. Voor dit project werd derhalve speciaal een PMO ingericht, zodat een duidelijk onderscheid gemaakt kon worden tussen programmamanagement en het managen van de implementatie van de requirements in de afzonderlijke bedrijfsonderdelen. De programmadirecteuren kwamen wekelijks met de leiders van de werkgroepen en het squad support center bijeen in een kerngroep, waarbij programmadirecteur I de algehele leiding had. Deze gelaagdheid heeft ervoor gezorgd dat de programmadirecteuren voldoende tijd hadden voor coördinatie, reflectie, het afstemmen van corporate-initiatieven, het zorg dragen voor brede communicatie en het ‘masseren’ van het management van de bedrijfsonderdelen. De gelaagdheid creëerde tevens ruimte voor escalatie, waardoor de operationele flying squads door konden met hun activiteiten. Daarnaast kon op basis van feedback van de flying squads en de bedrijfsonderdelen worden bijgestuurd in de aanpak en compliance-eisen, zonder dat de squads daar verantwoordelijk voor werden gehouden (don’t shoot the messenger). In een enkel geval betekende dit dat compliance-eisen werden verlicht, net nadat bedrijfsonderdelen om compliant te geraken sterk verandermanagement hadden doorgevoerd. Natuurlijk leidde dit tot soms tot frustraties. Het programmamanagement had in ieder geval voldoende afstand en supervisie om soms wat harder aan te touwtjes te trekken (‘push’) en soms deze te laten vieren (‘pull’).

De leiders van de flying squads hadden zelf veel eigen verantwoordelijkheid waar het erom ging de bedrijfsonderdelen te bewegen tot het implementeren van de Corporate Requirements. De mate waarin zij erin slaagden het compliancepercentage in de aan hen toevertrouwde bedrijfsonderdelen te laten groeien, was van directe invloed op hun jaarbonus. Om die eigen verantwoordelijkheid te kunnen invullen, konden de leiders van de squads, binnen enkele randvoorwaarden, afwijken van het script of het gebruik van de tools. De beste teams waren in staat pragmatisch te opereren, toch het detail te zoeken, goed contact op te bouwen met het management van de bedrijfsonderdelen en vooral het eigen initiatief binnen de bedrijfsonderdelen aan te wakkeren. Ook hielden zij zich zoveel mogelijk aan het vastgestelde script, waardoor zij heel helder konden communiceren over afwijkingen; daardoor was support van het squad support center optimaal mogelijk. De squads, die dachten alleen via ‘push’-technieken zelf zoveel mogelijk gaps te kunnen dichten, kwamen vaak van een koude kermis thuis. Juist dan waren de Business Groepen soms in staat in de stuurgroep vertragingen goedgekeurd te krijgen.

Gelaagdheid in requirements, flexibiliteit in compliance-eisen op detailniveau

Als afgeleide van de bedrijfswaarden (DSM Values) vormen de Corporate Requirements de kapstok van de gehele structuur van internecontrole-eisen. Deze per discipline ingerichte en op het intranet beschikbare set regels beschrijft op hoog niveau wat het concern vereist op het gebied van kwaliteit, beheersing, rapportages en uitvoering voor alle primaire en ondersteunende processen. Sommige requirements kunnen worden getypeerd als internecontrole-requirements. Het zijn deze requirements die in scope waren van het project. Ondanks dat de requirements op hoog niveau zijn beschreven, zijn zij wel concreet genoeg om direct te implementeren en zijn ze auditeerbaar.

De requirements, dus ook de internecontrole-requirements, zijn dusdanig geformuleerd, dat zij toepasbaar zijn voor alle bedrijfsonderdelen, onafhankelijk van typologie, locatie, informatiesysteem, groeifase of omvang. Naast de Corporate Requirements beschikt de organisatie over zeer gedetailleerde internecontroleraamwerken, waarin per processtap en per risico is aangegeven wat de standaardmaatregelen van interne controle zijn om de risico’s te beheersen. De DSM Values en de Corporate Requirements zijn ‘wet’ voor alle bedrijfsonderdelen, maar de gedetailleerde normenkaders zijn alleen voor die onderdelen verplicht die gebruikmaken van SAP en voor niet-SAP-gebruikers slechts een best practice. Deze gelaagdheid (detailniveau) in de requirements heeft de organisatie het middel gegeven om:

  • op alle niveaus in de organisatie commitment te krijgen voor de compliance-eisen;
  • op alle niveaus in de bedrijfsonderdelen de compliance-eisen te communiceren en te toetsen;
  • te differentiëren naar de ‘controlvolwassenheid’ van de bedrijfsonderdelen.

Figuur 2 illustreert hoe de gelaagdheid in requirements de organisatie in staat stelde deze efficiënt uit te rollen (zie ook volgende subparagraaf). De eerste kolom toont de gelaagdheid, de tweede de primaire doelgroep, de derde de wijze van vastlegging per niveau.

C-2007-1-Vreeke-2

Figuur 2. Gelaagdheid in requirements.

Verpakken van de complianceboodschap

Gedurende het project heeft het uitrollen van standaardbedrijfsprocessen een steeds prominentere rol gekregen. Hierdoor kon de complianceboodschap ook een positieve wending krijgen. De internecontrole-eisen worden gezien als een impliciet kwaliteitsaspect van het standaardbedrijfsproces. De testfase (zie volgende subparagraaf) is dan ook uitgevoerd op basis van het standaardbedrijfsproces. Door middel van interactieve workshops en detailsessies met proces- en systeemspecialisten zijn de standaardbedrijfsprocessen (inclusief de internecontrole-eisen) gevalideerd. Daarbij werd gebruikgemaakt van het ‘drieluik’: (1) lijst met eisen op verschillende detailniveaus, (2) processchema’s van het standaardbedrijfsproces en (3) rolbeschrijvingen. Het werken met dit drieluik om op een interactieve manier de gaps vast te stellen en direct kennis over te brengen van het standaardbedrijfsproces, bleek succesvol.

C-2007-1-Vreeke-3

Figuur 3. Overzicht drieluik validatiesessies en gap-analyse.

Het complianceproject heeft zo veel bijgedragen aan de kennisverbetering over de standaardbedrijfsprocessen en het standaardsysteem. Daarnaast heeft het project ‘afwijkingen’ met de standaard (denk aan functiescheidingen) gecorrigeerd en is bij veel bedrijfsonderdelen de oprijlaan om het standaard-SAP-systeem uit te rollen geplaveid, door bijvoorbeeld de standaardrollen en -procedures alvast te implementeren.

Omdat in de bedrijfsstrategie ook ‘operational excellence’ en ‘stimuleren van innovatie’ als doelstellingen prominent worden genoemd, kon dit vehikel mede worden gebruikt om de compliancedoelstelling in te verpakken. Die van ‘operational excellence’ ligt voor de hand, processtandaardisatie biedt ruimte voor optimalisatie door procesverbetering of procescentralisatie. Maar hoe verbind je compliance en het stimuleren van innovatie?

Allereerst resulteren compliance en standaardisatie in beheerst verlopende processen die relatief weinig managementaandacht vereisen. Dit betekent dat het management meer aandacht overhoudt voor het zoeken naar en doorvoeren van verbeteringen. De return on management ([Simo95]) neemt toe. Een andere, meer indirecte relatie tussen compliance en innovatie is dat compliance de transparantie in een organisatie verhoogt, wat de basis is voor vertrouwen. Daar waar vertrouwen is, wordt samenwerking gestimuleerd. Samenwerking is de basis voor veel succesvolle innovaties ([Boon05]).

Aan het eind van het project waren de standaardbedrijfsprocessen aanzienlijk verbeterd en voorzien van aan solide implementatie en onderhouds-toolbox. Om de resultaten van het project in te bedden in de staande organisatie is een Business Process Competence Center opgericht. Hierin zullen alle onderdelen van de standaardbedrijfsprocessen worden beheerd (denk aan procesbeschrijvingen, rolbeschrijvingen, functionele ontwerpen, internecontrolerapportages, etc.), terwijl ook de uitrol naar de bedrijfsonderdelen die nog niet op de door SAP ondersteunde standaardbedrijfsprocessen zijn overgegaan, door deze organisatie uitgevoerd zal worden. Natuurlijk zal het standaard-procesmanagement dan een perfecte basis zijn voor procesimprovement. Proces- en organisatieveranderingen kunnen dan snel worden doorgevoerd, omdat enerzijds de AS-IS situatie volledig bekend is, en daarnaast op basis van gap-analyse exact duidelijk wordt op welke systemen, processen en organisatieonderdelen de wijziging impact heeft. Ook het integreren van nieuwe organisatieonderdelen zal door het hebben van standaardbedrijfsprocessen kunnen worden versneld.

Door de uitkomsten van het strak implementeren van standaardbedrijfsprocessen op deze wijze te verbinden aan de corporatestrategie, krijgt de ‘push’ waarmee ze geïmplementeerd worden voor de afzonderlijke bedrijfsonderdelen een meer legitiem karakter, waardoor de betrokkenheid toeneemt en de weerstand daalt.

Flexibiliteit in ‘push’-aspecten

Zoals al aangegeven kende dit project een redelijk hoog ‘push’-gehalte. Als je zoveel investeert, wil je bepaalde minimale garanties over de uitkomsten. Daarnaast wil je organisatiebreed een consistente en harmonieuze standaardset van internecontrolemaatregelen uitrollen. Het ‘push’-element kwam met name terug in het voorgeschreven roll-out script, het continu meten van de compliancestatus en de ondersteunende toolbox.

Roll-out script

In het roll-out script stond per fase van de uitrolactiviteiten bij de bedrijfsonderdelen vast wat er moest gebeuren, door wie, in welke vorm en wat er opgeleverd moest worden. Naarmate de best practices toenamen, werden ook de inhoud en de vorm van de op te leveren resultaten steeds vaster. Het roll-out script gaf tot in detail aan hoe bepaalde workshops dienden te worden georganiseerd, wie daarbij aanwezig moesten zijn en hoe deze moesten worden voorbereid. Het roll-out script refereerde aan ondersteunende tools, voorbeelden en best practices. In de testfase is ook gebruikgemaakt van tools om verschillende ERP-systemen door te lichten op ‘in control’-indicatoren. In het roll-out script werd ook gerefereerd aan de miniprojecten waarmee de reparatiewerkzaamheden (het oplossen van compliance gaps) vorm konden worden gegeven. Denk hierbij dan aan (1) inrichten master data organisatie, (2) oplossen functiescheidingsconflicten, (3) formaliseren procedures, (4) training uitzonderingsrapportages, (5) implementatie monitoringtools, etc. De miniprojecten stonden vast. Figuur 4 geeft een voorbeeld van het roll-out script.

C-2007-1-Vreeke-4

Figuur 4. Roll-out script.

Echter, daar waar het standaard roll-out script door omstandigheden niet kon worden gevolgd, kon exact worden bepaald hoe moest worden afgeweken en wat de consequenties zouden zijn op het gebied van het ‘te verwachten resultaat’, de planning en de resourcing. Het hebben van een standaard roll-out script kan dus ook de flexibiliteit bevorderen. Het wordt zo exact duidelijk waar ‘push’ omslaat in ‘pull’ en hoe daarmee de projectaansturing voor die bedrijfsonderdelen moet veranderen.

Compliance tracking

Tijdens de testfase is door middel van een zeer gedetailleerde scorekaart (circa duizend regeltjes) exact per proces of functioneel gebied de compliancescore in kaart te brengen. Per criterium werd met scores (0-5) aangegeven wat het volwassenheidsniveau van het bedrijfsonderdeel was op deze controlemaatregel. Vervolgens was het mogelijk per proces- en functioneel aandachtsgebied (grafisch) te rapporteren over het compliancepercentage en kon op basis van de compliancescore, vroegtijdig, een inschatting worden gegeven van de benodigde capaciteit en doorlooptijd van de herstelwerkzaamheden. Tijdens de herstelfase werd de compliancestatus nog tweemaal gemeten, waarvan de laatste keer vlak voor de overdracht. Op deze wijze kon in het project zeer gedetailleerd over de compliancestatus worden gerapporteerd. Tevens kon zo worden vastgesteld, welke bedrijfsonderdelen en supportteams het meest succesvol waren. Ook na het project zal het op detail kunnen meten van de compliancestatus door middel van tools ingebed worden in de staande organisatie.

Toolbox

Voor de ondersteuning van de squads is in het squad support, methods & tooling center een volledige toolbox ontwikkeld, die via het intranet ter beschikking is gesteld. Deze toolbox was volledig volgens het eerdergenoemde roll-out script gestructureerd. In de toolbox werd per fase van de roll-out aangegeven welke compliance-eisen, tools, templates en standaardpresentaties moesten worden gebruikt. Door te klikken op een onderdeel in het roll-out script werden direct de bijbehorende documenten toegankelijk. Ook werden alle internecontroleraamwerken via de toolbox beschikbaar gesteld.

Communicatie

Indien je in internationaal verband een corporateproject uitrolt, dan is een sterke visuele ondersteuning en branding van groot belang. De naam van het project is daarbij zeer belangrijk. Het gevecht om aandacht is de eerste ‘battle’ die moet worden gewonnen, voordat je de doelstelling mag komen uitleggen. Natuurlijk is managementcommitment een randvoorwaarde, maar zonder ‘visual presence’ is er een grote kans dat je het gevecht om managementaandacht verliest. Communicatie is zeker één van de sterkste pijlers onder het project geweest. Onder directe supervisie van programmadirecteur I is er een communicatiegroep opgezet, die behalve voor het ontwikkelen van communicatietools, zoals flyers, posters, banners, intranetpagina’s en internetcommunicatie, ook verantwoordelijk was voor het consistent uitdragen van de ‘brand’ en de juiste boodschappen op het juiste tijdstip aan de juiste doelgroepen. Eigen templates, pictures, cartoons en styles zijn hiervoor ontwikkeld. Daarnaast hebben de communicatiespecialisten een actieve rol gespeeld in de trainingen voor de projectmedewerkers. Daar waar bedrijfsonderdelen ook in hun eigen media iets over het programma wilden publiceren, konden zij rekenen op steun van deze communicatiegroep. Wel op basis van ‘pull’.

Aandacht voor mens en gedrag

Een andere belangrijke key success factor is het verankeren van rollen in de organisatie geweest. Met medewerking van de corporate HR-afdeling zijn alle standaardprocesrollen (inclusief SAP-systeemprofielen), gespiegeld aan HR-functiebeschrijvingen, die uiteindelijk samen met competenties en vaardigheden tot organisatorische posities per bedrijfsonderdeel flexibel konden worden opgebouwd. Op die manier ontstond er een directe link tussen de taken en verantwoordelijkheden in systemen en procedures met de HR-functiebeschrijvingen. Dit heeft er bij een aantal bedrijfsonderdelen toe geleid dat in de persoonlijke jaarlijkse evaluatiemeeting de prestaties op het gebied van compliance onderdeel gingen uitmaken van de beoordelingsstructuur.

Daarnaast is met behulp van arbeidspsychologen materiaal ontwikkeld om het compliancebewustzijn te verbeteren en het verandertraject handen en voeten te geven. Naast video’s, rollenspellen en trainingsmateriaal zijn er hulpmiddelen tot stand gekomen op het gebied van consequentiemanagement (‘just right management’). Een belangrijk onderdeel van het trainingsmateriaal is hoe ‘leadership’ ondergeschikten kan aanspreken op foutief gedrag en hoe dit consequenties moet trekken inzake non-compliant gedrag. Dit met als doel een cultuur te creëren, waarin open wordt gecommuniceerd over afwijkingen en waarin actief samen wordt gezocht naar verbeteringen en oplossingsrichtingen. Op dit vlak heeft de organisatie gebruikgemaakt van haar uitgebreide ervaring op het gebied van Safety, Health en Environment.

Ondersteunende tools

Veel organisaties hebben ervoor gekozen om in hun complianceproject, althans aanvankelijk, geen gebruik te maken van geavanceerde workflow tools, ook wel Compliance Management Software of Governance, Risk & Assurance Platforms genoemd. De afweging is dan vaak, dat ze eerst willen zien wat exact de requirements zijn. Maar ook vanwege de tijdsdruk is er vaak voor gekozen om gewoon office-tools te gebruiken als Excel en Access voor de vastlegging van de controls, testinstructies en resultaten. In tabel 4 wordt een overzicht gegeven van alle ondersteunende tools die reeds zijn uitgerold in het project of die mogelijk in de nabije toekomst kunnen worden uitgerold. Het lijkt een lappendeken, maar in de praktijk is dit niet het geval. Veel van de tools zijn van dezelfde leveranciers en integreren met elkaar. Daarnaast zijn er nog geen tools op de markt die alle benodigde functionaliteit bieden. De verwachtingen op het gebied van de nieuwe Governance, Risk en Compliance-functionaliteiten van SAP (mede door de overname van Virsa en de integratie en uitbouw van de oude SAP Management of Internal Control-oplossing) zijn echter hooggespannen. Door het gebruik van onderstaande tools heeft DSM een stevig fundament om op efficiënte wijze compliant te blijven.

C-2007-1-Vreeke-5

Figuur 5. Ondersteunende tools.

C-2007-1-Vreeke-t4

Tabel 4. Overzicht van ondersteunende tools. [Klik hier voor grotere afbeelding]

Lessons learned

In het project zijn er natuurlijk ook zaken te onderkennen die bij nader inzien anders en wellicht beter hadden gekund.

  • Bewaking van het ‘push’-gehalte met betrekking tot tools. In het project begon de zo succesvolle toolbox zo in omvang toe te nemen dat de squads op een gegeven moment door de bomen het bos bijna niet meer zagen, met als bekend neveneffect, dat het ‘out of the (tool)box’ denken dreigde te stoppen. Na goede interne evaluaties en onder druk van de complexere en meer diverse bedrijfsonderdelen zijn in het tweede jaar van het programma afwijkingen van het roll-out script en de toolbox wat meer toegestaan. In het begin, daarentegen, toen de toolbox nog niet geheel gereed was, hebben wij kunnen constateren dat het volgen van het standaard roll-out script en de toolbox een schijnzekerheid voor succes was voor sommige squads. Lesson learned: de omvang en het detail van de toolbox zijn kritisch.
  • Iets meer ‘push’ bij het gedrag? Naarmate het programma vorderde werd in de praktijk bewezen dat het veranderen van de attitude en het inbedden van consequence management op non-compliant gedrag bedrijfsonderdelen het snelst vooruit hielpen. Echter, door het hoge ‘pull’-gehalte op dit gebied zijn er slechts een paar bedrijfsonderdelen waar een echte compliancecultuur is gerealiseerd. Het terrein van ‘sustainable compliance’ zal dan ook worden gecontinueerd na het eindigen van het programma. Lesson learned: wat vroeger en dwingender inzetten op gedrags-beïnvloedingsmiddelen, zoals consequence management.
  • Sterker sturen op ‘cost of compliance’ en integratie met procesverbeteringen. Het implementeren van het True Blue-programma, en met name de implementatie van standaardbedrijfsprocessen daarbinnen, geeft ruime mogelijkheden om de ‘total costs of compliance’ te laten dalen. Tevens zijn stevige voordelen te behalen met shared services en procesoptimalisaties. Aangezien deze twee elementen niet als primaire doelstellingen in het project zijn meegenomen (het ging immers vooral om compliance), zijn de te behalen voordelen onderbelicht gebleven. Enkele bedrijfsonderdelen zijn inmiddels begonnen deze mogelijkheden alsnog te benutten. Deze potentie is als positieve driver voor het project echter onderbenut. Lesson learned: benut te behalen businessvoordelen van meet af aan als driver voor complianceprojecten.

Conclusie

In de resultaten van het project heeft de reeds aan de start aanwezige infrastructuur van risk management en interne controle een belangrijke rol gespeeld. Zo beschikte de onderneming al over Corporate Requirements, internecontroleraamwerken, internecontrolefunctionarissen per bedrijfsonderdeel en veel ondersteunde tools naast een standaard-SAP-systeem. Daarop voortbouwend waren de voornaamste succesfactoren van het project, waarop het project zich mogelijk onderscheidt van andere:

  • Een goede balans tussen ‘push’ en ‘pull’, waardoor én een bepaald resultaat afgedwongen kon worden, én ook de eigen verantwoordelijkheid niet aangetast werd. Door het ‘push’-gehalte was tevens het leereffect groot en ontstond er ruimte voor het delen van best practices. De stijl van het project sloot aan bij de managementstijl van de organisatie.
  • Het programma is altijd vanuit een positieve boodschap gecommuniceerd. Het project kende veel ruimte voor creativiteit en eigen inbreng. Dit straalde uit naar de projectmedewerkers en de vertegenwoordigers vanuit de bedrijfsonderdelen. Voor velen zowel intern als extern was dit internationale project een zeer positieve ‘once of a lifetime’-ervaring.
  • Gelaagdheid in het projectmanagement. Een duidelijke scheiding tussen programmamanagement en dagelijkse projectuitvoering. Het afstemmen van allerlei corporate-initiatieven en het managen van frustraties en conflicten kon hierdoor voldoende aandacht krijgen van de ervaren programmadirecteuren.
  • De complianceboodschap is zoveel mogelijk verpakt in de bijdrage aan de strategie, door operational excellence (processtandaardisatie) en innovatiestimulering.
  • De ‘pull’-activiteiten op het gebied van bewustzijn en gedrag en de sterke integratie met enkele HR-tools.

Voor die organisaties die klem zitten in hun complianceproject is dan ook het advies meer ‘pull’-aspecten toe te laten in het project, en daarnaast:

  • zich niet blind te staren op het aantal controls, maar te focussen op de slimheid van de controls. Slimme (lees preventieve en geautomatiseerde) controls zijn goedkoper in onderhoud en strakker. Daarnaast kunnen ook dagelijkse controles mogelijk worden vervangen door periodieke overspannende verbandscontroles.
  • de scope te verbreden van financiële controls alleen naar ook de business controls en daarmee direct ook te streven naar operational excellence-initiatieven. Indien controls onderdeel uitmaken – als kwaliteitsaspect – van standaardbedrijfsprocessen, dan vangt de organisatie twee vliegen in één klap. Bij de implementatie en instandhouding van de standaardbedrijfsprocessen dienen die activiteiten op het gebied van interne controle naadloos te worden geïntegreerd. Zowel dus in beheer, uitrol als naleving (audit).
  • controlsintegratie hoog op de agenda te zetten. Ook al kunnen de controledoelstellingen voor de verschillende standaarden (bijvoorbeeld SOX/Tabaksblat, ISO, cGMP, FDA, Cobit, BS7799) verschillen, via de testinstructie kan toch de effectiviteit van de controls naar de verschillende standaarden toe worden opgerold en aangetoond. Controlsintegratie zal de testinspanning en het beheer van de raamwerken significant doen afnemen. Het aantal audits bij de verschillende bedrijfsonderdelen zal zeer sterk dalen. Voor controlsintegratie is ondersteunende tooling noodzaak.
  • te kiezen voor een goede ondersteunende toolset, ondanks dat de ‘holy grale’ op dit gebied, als een volledig geïntegreerde tool, nog niet bestaat. Organisaties dienen eerst goed vast te stellen wat hun visie is op het gebied van corporate governance, enterprise risk management, testen, continuous assurance, etc. en op basis hiervan eisen op te stellen. Vervolgens moeten zij een goede leverancier of combinatie van leveranciers kiezen die hen kan ondersteunen in het realiseren van een ondersteunend platform om die visie in te vullen. Het helder formuleren van eisen is belangrijk, zodat toch nog tijdig kan worden bijgestuurd als de gekozen tools niet blijken te leveren wat werd verwacht, of als andere tools in de markt zich beter ontwikkelen.

Het True Blue-programma is nu ontbonden en de projecttaken worden momenteel verankerd in de staande organisatie. De oprichting van het (SAP supported) process management center met daarin geïntegreerd de internecontroleactiviteiten en tools, de verankering van proceseigenaarschap op concernniveau en de oprichting van een corporate risk management-afdeling zijn hierin belangrijke pijlers.

Tot slot

Wil een organisatie meer halen uit complianceprojecten, dan zal zij ‘pull’-elementen moeten toestaan in haar project, moeten focussen op de ‘total costs of compliance’ en de complianceboodschap enigszins moeten verpakken. Daarnaast is sterke communicatie en aandacht voor de mens en de HR-functie essentieel om een blijvend resultaat af te dwingen. Diverse softwaretools zijn op de markt om tijdens de gehele controls-lifecycle ondersteuning te bieden. Echter, deze zijn nog niet volwassen en geïntegreerd. Om het gehele spectrum te ondersteunen zullen nu nog ‘best-of-breed’ producten nodig zijn.

Literatuur

[Boon05] A. Boons, Meer controle, meer creativiteit, Chief Financial Officer, januari-februari 2005, p. 66.

[Donk02] J.A.M. Donkers en R. Oudega, Van projectaudit tot projectcontrol, Compact 2002/4.

[Donk05] J.A.M. Donkers, R. Oudega en S. van der Meijs, Commitments: het realiseren van de baten van projecten, Compact 2005/4.

[HFD04] Diverse artikelen Het Financieele Dagblad, katern ‘Corporate Governance’, dinsdag 21 september 2004.

[Kapt04] M. Kaptein en H. Klamer, De implementatie van bedrijfscodes in Nederland, finance & control, August 2004, pp. 11-15.

[Merc03] K.A. Merchant en W.A. van der Stede, Management Control Systems, performance measurement, evaluation and incentives, Prentice Hall, 2003.

[Simo95] R. Simons, Levers of Control, how managers use innovative control systems to drive strategic renewal, Harvard Business School Press, Boston 1995.

[Vree06] A. Vreeke, B. Coolen en F.T. Kooistra, Beheersing van de business cycle ‘Material to Product’, Compact 2006/2.