Business Process Management (BPM) is een managementfilosofie die steeds meer in de belangstelling komt te staan. Door het centraal stellen van processen (u heeft ze al!) ontstaat meer grip op de bedrijfsvoering. Dit legt de basis voor snel en efficiënt verbeteren. U bent hierdoor in staat sneller uw doelen te bereiken. Maar wat is procesdenken? En hoe moet je het omvormen naar procesdoen? Welke praktische handvatten zijn beschikbaar en wat zijn de do’s en de dont’s?
De oorzaken van de kredietcrisis zijn zeer gecompliceerd en het is nog te vroeg om de gevolgen te bepalen. Een deel van de oorzaak lijkt te liggen bij het nemen van risico’s. Daar ligt het raakvlak met compliance: iedere organisatie loopt bedoelde en onbedoelde risico’s in haar bedrijfsvoering. In toenemende mate wordt het bedrijfsleven gedwongen deze risico’s te beheersen. Wie dit slim aanpakt kan daarmee zelfs de toegevoegde waarde creëren. BPM biedt daarvoor een uitstekend handvat.
Compliance bij financiële instellingen was in eerste instantie gericht op de naleving van de regeling bestuurderskredieten, het implementeren van gedragscodes en het toetsen van de naleving daarvan. Maar de laatste jaren wordt de term ‘compliance’ als algemeen begrip gebruikt. Een organisatie die compliant is straalt naar de buitenwereld uit dat het zich houdt aan de regels. Deze regels kunnen intern (bedrijfsnormen) of extern (wetgeving) zijn opgelegd. Ze zorgen ervoor dat er wordt gehandeld in het belang van de klant. Dat kunnen we proberen te borgen door eisen te stellen aan zorgplicht, transparantie, integer handelen, etc.
Principe wordt maatregel
Compliant worden is een heel proces. Het begint met een regel waar de organisatie zich aan wil of moet houden. Vroeger waren deze regels meestal heel concreet, maar tegenwoordig reiken regelgevers (de overheid in het bijzonder) steeds vaker ‘principes’ aan. Dat wil zeggen dat de vertaling van ‘principe’ naar regel of risico en vervolgens naar maatregel door de organisatie zelf wordt uitgevoerd. Een en ander zal vaak leiden tot een extra handeling of een controle in een proces. Een voorbeeld ter toelichting. In de Wet Toezicht Beleggingsinstellingen (WTB) staat als een principe beschreven dat ‘de beschrijving van de administratieve organisatie en het systeem van interne controle ten minste voorziet in procedures en maatregelen die waarborgen dat de risico’s die samenhangen met het beleggingsproces op een systematische wijze worden beheerst…, etc.’. Op basis van dit principe identificeert de organisatie vervolgens een risico dat ‘de model portefeuille niet voldoet aan beleggingsbeleid of mandaat’. Tenslotte worden de maatregelen geïdentificeerd die dit risico moeten ‘managen’. Dat kan zijn het toevoegen van een processtap, bijvoorbeeld een ‘pre-trade compliance check’, het liefst volledig afgedwongen door het ondersteunende geautomatiseerde systeem.
Het opzetten van zo’n maatregel alleen is echter nog niet voldoende. Het toont alleen maar aan dat er is nagedacht over compliance. Om compliant te zijn en te blijven moet ook aangetoond worden dat de maatregel uitgevoerd wordt en het gewenste effect sorteert. Of in ‘normale-mensen-taal’: laat zien wat je doet en bewijs dat je het zo doet!
Complexiteit
Dit klinkt erg eenvoudig, maar er is een aantal factoren dat het ingewikkeld maakt. De regels waaraan we willen voldoen worden steeds complexer. Dit maakt niet alleen de vertaalslag naar maatregelen lastiger, het bemoeilijkt ook het inzicht in de relaties en afhankelijkheden tussen alle regels. Daarbij komen er ook steeds meer regels; Wbp, Wft, MiFID, Basel II, Solvency II, UCITS/ ICBE, WWFT om er maar enkele te noemen. Deze zaken maken het beheren en beheersen van de maatregelen die nodig zijn voor compliance aanzienlijk gecompliceerd. En dan hebben we het nog niet over de uitvoer en de werking van die maatregelen terwijl dat nu juist het allerbelangrijkste is! Je kunt nog zoveel vastleggen, de toegevoegde waarde van compliance zit in de daadwerkelijke effecten die het sorteert in je bedrijfsvoering. Dat is ook het punt waar je als organisatie uiteindelijk op wordt afgerekend.
Veilig en betrouwbaar
Een hardnekkig misverstand willen we bij deze de nek omdraaien: compliance is niet alleen van belang voor de compliance officer! Compliance is van belang voor de gehele organisatie omdat het een impact heeft op vrijwel ieder proces waarin zich materiële risico’s kunnen voordoen. Daarom zullen de meeste regels waar we aan willen of moeten voldoen uiteindelijk landen in de operatie. Hierdoor heeft compliance een effect op iedereen die in de organisatie werkt. De financieel medewerker moet iedere vrijdag het mandaat van de binnenkomende facturen controleren. De medewerker buitendienst krijgt ineens te maken met het ‘vier-ogen-principe’. De operationele manager moet regelmatig aan de slag met zijn processen om risico’s in te perken en de CEO is net zo begaan met imagoschade en verlies van vergunning als met omzet en winst. Compliant zijn is niet hetzelfde als veilig en betrouwbaar, maar het is een wel een indicatie en een basisvoorwaarde.
Geen totaalbeeld
Veelal worden de verantwoordelijkheden voor interne controle maatregelen om compliant te worden (en te blijven) verdeeld over afdelingen zoals internal audit, risk management, finance, IT, control, operations en legal. Hierdoor ontbreekt vaak het totaalbeeld van compliance en dat geeft onrust in de hoofden van de compliance officer en de CFO. Juist voor hen is dit totaalbeeld van belang. Zij moeten vertrouwen hebben in de juiste opzet en werking van de maatregelen. Als ze dat niet hebben lopen ze een risico. Want als een organisatie niet compliant is kan ze haar vergunning kwijtraken (als de toezichthouder er op tijd bij is), imagoschade oplopen of erger… In dit geval gaat het om grip op compliance.
Raamwerk BPM
Het zou erg handig zijn om een raamwerk te hebben om dit totaalbeeld van maatregelen voor compliance aan op te hangen. Business Process Management (BPM) biedt zo’n raamwerk. BPM is een managementaanpak die zich primair richt op het krijgen van grip door verbeteringen in beheersbaarheid en transparantie. Daarbij beschouwt BPM de organisatie vanuit een perspectief van het bedrijfsproces dat de verbinding vormt tussen de vraag van de klant en de oplevering van het product of de dienst. BPM creëert inzicht en overzicht in de processen en biedt daarmee houvast voor de operatie en het management. Het mooie van BPM is dat het een uitstekende kapstok biedt voor zaken die ‘iets’ met processen te maken hebben, zoals bijvoorbeeld prestatiemanagement (KPI’s), outsourcing, de inzet van ICT en … compliance!
Controle
BPM kan compliance ondersteunen door de efficiëntie en de effectiviteit van interne controle te verbeteren. In de eerste plaats door het opzetten van compliance te ondersteunen. Daarbij biedt BPM één uniform raamwerk van processen om compliance rules vast te leggen. Een groot deel van de regels is immers te vertalen naar een maatregel ergens in een proces. Verder worden in het kader van BPM beslissingscriteria (business rules) en bijbehorende normen (toleranties) voor belangrijke stappen in processen vaak al vastgelegd. Deze business rules zijn concretiseringen van de expliciete beperkingen op gedrag of geven richting aan gewenst gedrag. Op deze manier zijn ook allerlei gedragseisen ten aanzien van compliance centraal en uniform vast te leggen en te beheren. Ook kan BPM helpen overspannende controles te formuleren. Deze zijn doorgaans een stuk efficiënter dan controles op uitvoeringsniveau en verbeteren het overzicht voor het management en de compliance officer. Vaak kan de interne controle ook een stuk efficiënter ingericht worden door te steunen op controles in andere processen. Maar om de verbanden tussen processen te kunnen zien, is een procesarchitectuur noodzakelijk.
De procesarchitectuur maakt het ook meteen mogelijk om snel en gemakkelijk te zien welk proces geraakt wordt indien bepaalde regels veranderen. Daardoor kan BPM compliance ondersteunen om het bestaan en de werking van controles en maatregelen te garanderen ondanks allerlei dynamiek in wet- en regelgeving. Maar wat gebeurt er met uw controles wanneer eenmaal ingerichte processen beginnen te veranderen? Hoeveel moeite kost het om het proces te wijzigen? Hoe zorgt u ervoor dat het aangepaste proces nog steeds compliant is? Wat gebeurt er wanneer de kritieke processen dynamisch zijn en veelvuldig veranderen? Ook daarvoor biedt het BPM raamwerk uitkomst. Door het invoeren van proceseigenaarschap ligt de verantwoordelijkheid voor compliance daar waar hij hoort: in de business. Met de koppeling van compliance aan de processen is het de verantwoordelijkheid van de proceseigenaar om voor zijn of haar deel van de processen compliant te zijn. Hierdoor en door het aanstellen van parttime processpecialisten op de werkvloer worden actualiteit en uniformiteit continu bewaakt. Processen kunnen dus niet meer zomaar wijzigen, maar worden integraal beheerd. Dit voorkomt tevens dat er een control omgeving wordt ingericht die los staat van reeds bestaande managementsystemen.
Verder biedt BPM het uitgebreide perspectief van klanttevredenheid en klantgerichtheid als aanvulling op het standaardperspectief van mogelijke financiële claims. En dat is in het kader van de doelstelling van compliance (zorgen dat er gehandeld wordt in het belang van de klant) niet onbelangrijk!
Kennis van collega’s
BPM voegt dus waarde toe aan compliance, maar andersom werkt het precies hetzelfde. BPM specialisten zouden voor hun implementatie, beheersing of verbetering uitgebreid gebruik moeten maken van de kennis van hun compliance collega’s. Want bij compliance kijkt men specifiek naar de betrouwbaarheid van controles waarop gesteund wordt en men test deze betrouwbaarheid ook. BPM professionals hebben hier vaak nog te weinig aandacht voor. En ook niet onbelangrijk: compliance heeft vrijwel altijd prioriteit boven andere doelstellingen omdat het (hoger)management non-compliance direct voelt in hun portemonnee: variërend van bonustoeslag tot werkontslag.
Conclusie
Compliant zijn en blijven vereist een stevige interne controle. BPM kan hier een bijdrage aan leveren doordat een deel van compliance goed te vertalen is naar maatregelen in processen of business rules. Daarbij biedt het raamwerk van BPM een prachtige kapstok om de opzet, het bestaan en de werking van compliance te garanderen. Met BPM krijgt u niet alleen een beter inzicht in de (uit)werking van compliance, maar verbetert u ook de effectiviteit en de efficiëntie van de maatregelen. Verder dient de verantwoordelijkheid om compliant te zijn en te blijven te liggen in de business, en niet alleen bij de compliance officer en de CFO.
Tenslotte, BPM is geen Haarlemmerolie. Processen dekken niet alles af wat noodzakelijk is om compliant te zijn. De compliance officer zal nog steeds op moeten treden als bewaker van de integriteit van de onderneming en zijn werknemers. Maar het is allemaal net wat beter te hanteren. Door op deze manier uw processen te beheersen, krijgt uw organisatie grip op de maatregelen die nodig zijn om compliant te worden, te zijn en te blijven. En dan is compliance alleen nog maar de implementatie van het minimaal noodzakelijke om aan de (wettelijke) vereisten te voldoen. Vanuit uw huidige bedrijfsvoering, maar zeker ook door de mogelijke opkomst van nog meer noodzakelijke compliance regels als gevolg van de huidige financiële crisis, is het van ons uit van harte aan te bevelen om BPM toe te laten in uw manier van denken en doen.
Bron: Banking Review
