4 minuten leestijd

Simpel gesteld: hoeveel mag ‘in control’ kosten? Door control ‘in te bouwen’ in plaats van ‘er bovenop te leggen’ is een kosteneffectieve aanpak mogelijk. 

Ondernemen is risico's nemen. En ondernemen is daarmee ook een zaak van in control zijn over risico's. Maar bij het zoeken naar de juiste mate van control speelt ook een economische afweging. Simpel gesteld: hoeveel mag 'in control' kosten? Door control 'in te bouwen' in plaats van 'er bovenop te leggen' is een kosteneffectieve aanpak mogelijk.

Wie een groot en/of complex project start moet zich daarbij goed bewust zijn van een breed scala aan risico's. Variërend van het uit de hand lopen van planning of begroting tot aan reputatieschade of zelfs continuïteitsrisico's als de doelstellingen van het project niet worden gehaald.

Wie nieuwe technologie (zoals Artificial Intelligence, AI) inzet moet zich eveneens bewust zijn van de daarmee gepaard gaande risico's, die in dit geval veelal op een ander vlak liggen. De technologie kan onder de motorkap bijvoorbeeld ondeugdelijk zijn en daardoor (grote) ongewenste effecten hebben, of de implementatie kan risico's opleveren op het vlak van privacy of security.

In beide gevallen zijn bestuurders verantwoordelijk voor afdoende toezicht en beheersmaatregelen. En in beide gevallen is de afweging daarover principieel dezelfde: het gaat om een afweging van de impact en waarschijnlijkheid van bepaalde risico's ten opzichte van de bereidheid om risico's te nemen, ook wel de risk appetite genoemd.

Er is echter wel een verschil in volwassenheid in de omgang met risico's in uiteenlopende domeinen. Zo is het model voor beheersing van financiële risico's en/of financiële verantwoording al jaren sterk ontwikkeld. Maar dat ligt bijvoorbeeld heel anders ten aanzien van de risico's rondom de inzet van AI. Daar staat het denken over in control nog in de kinderschoenen.

De overkoepelende vraag is: hoe bepaal je het optimum voor beheersing? Hoeveel maatregelen wil je nemen om bepaalde risico's te mitigeren? En wat mag dat kosten? Vast staat dat er niet alleen te weinig maar ook teveel beheersing kan zijn. Ondernemen gaat per definitie niet zonder risico's en dat geldt ook ten aanzien innovaties. Bij het ontwikkelen van algoritmes – en daarmee het doorvoeren van innovaties in producten, diensten en bedrijfsmodellen – is het onwenselijk is om een te strak beheersingsinstrumentarium te gebruiken. Dan gaan immers waarschijnlijk strategische kansen verloren omdat dit de voor innovatie benodigde creativiteit en flexibiliteit beperkt.

Verder is de uitdaging vooral om de verantwoordelijkheid voor de beheersing op de juiste plek in de organisatie te leggen, om twee redenen. Ten eerste is dat de meest effectieve aanpak. Ten tweede is het ook vanuit een kostenafweging verstandig: wie de beheersing als een 'laag' bovenop bestaande processen ontwikkelt is daarmee duurder uit dan wie het 'inbouwt'. We spreken dan van in control 'by design'.

Vanuit de (volwassen) wereld van het beheersen van financiële risico's kennen we daarbij het zogeheten 3 lines of defence model. De eerste lijn – het management – is daarin verantwoordelijk voor het realiseren van de strategische doelen en is daarmee ook aanspreekbaar op een goede sturing en beheersing van de organisatie, inclusief de daarbij horende informatievoorziening en het risicomanagement. De tweede lijn faciliteert de eerste lijn daarbij. Deze lijn is verantwoordelijk voor de structuur en de inrichting van de organisatie en voor systemen op het vlak van onder meer planning & control, risk, procesbeheersing, informatieverwerking enz. De derde lijn – de internal audit functie – biedt een onafhankelijke blik op het stelsel van doelstellingen, daarmee samenhangende risico's en beheersmaatregelen namens de ondernemingsleiding.

Een van de risico's in dit model is dat de tweede en derde lijn steeds meer verantwoordelijkheden krijgen en dat daarmee ook verantwoordelijkheidsgevoel bij de eerste lijn wegvloeit. In de praktijk gebeurt dit nogal eens en dat is verklaarbaar vanuit een veelheid aan wet- en regelgeving die is ontwikkeld ten aanzien van onder meer zaken als compliance en risk management. Relatief nieuwe thema's vragen ook veel aandacht van de tweede lijn – denk bijvoorbeeld aan zorgplicht, privacy, en cybersecurity. De complexiteit is verder soms ook dusdanig toegenomen dat veel zaken automatisch op het bureau van een specialist in de tweede lijn belanden omdat generalistische kennis niet volstaat.

De uitdaging is dan ook om de rolverdeling zuiver te houden en de eerste lijn een verantwoordelijkheid te geven op dit punt. In veel gevallen is er zelfs geen keuze, want in de huidige op agile aanpakken gebaseerde projectaanpakken is het niet haalbaar en/of wenselijk om de tweede lijn op de klassieke manier als een waakhond mee te laten kijken. In control hoort dan ook thuis in de reguliere bedrijfsprocessen, en is geen separate activiteit. Wie dat voor elkaar krijgt heeft niet alleen een effectieve maar tevens de meest kosteneffectieve aanpak in handen.

Wilt u naar aanleiding van dit artikel een vraag stellen of in gesprek gaan, neem dan contact op @Marjolein van Egmond-van Beusekom, @Arvid de Bruin of @Bram van der Heijden.