Haar jaar als business controller…

Van niet zo fijn tot een samenwerkende 2de lijn!

 

Financial controller Kato was na een intensief begeleidingstraject in het afgelopen jaar officieel business controller geworden. Na haar studie was ze eerst acht jaar werkzaam geweest bij de BIG4, maar dat was voor haar niet de wereld voor de lange termijn. De combinatie van haar gezin, sporten en 60 uur per week werken was niet gezond.

De logische stap was de functie van financial controller bij Sebastiaans Dorp, een organisatie met maatschappelijke impact. In het begin was het even wennen. Al die stress rondom begrotingen, jaarrekeningen en soms maandelijkse rapportages, maar toen ze het ritme eenmaal had gevonden kon ze vanuit haar ervaring het proces verbeteren. Dit gevoel echt bij te kunnen dragen aan de maatschappij gaf haar veel voldoening en zorgde ervoor dat ze haar werk altijd met veel plezier heeft gedaan.

De stap naar business controller

Hoewel ze het vakgebied van financiën nooit echt los wilde laten kwam daar plots de vacature voor een business controller voorbij. De verbreding naar de business kant van de organisatie, waar kansen en risico’s worden genomen, waar maatschappelijke waarde wordt gecreëerd, leek haar wel wat. Met haar kennis zou ze ook daar de processen kunnen verbeteren. Na een lange sollicitatieprocedure werd zij gekozen om business controller te worden. Wel met als voorwaarde dat ze de controllers opleiding aan Het Zijlstra Center zou volgen.

De verhuizing naar de afdeling concerncontrol was best even wennen, een team met drie andere medewerkers en de concerncontroller zelf. Een nieuwe plek op een andere etage gaf op zich wel energie. Ook was het raar om nu verder van de afdeling financiën te zitten. In het verleden liepen bestuurders veelal door de gang om wat extra middelen los te weken, er lag meer macht dan ze zich achteraf realiseerde. Hier was bij de afdeling concerncontrol geen sprake meer van. Zij moesten zelf proactief op zoek gaan naar werk.

Enthousiast aan de slag!

De eerste bijeenkomst onder leiding van de concerncontroller was een super dag! Iedereen in het team was enthousiast over de nieuwe visie op control die de concerncontroller had opgesteld. Het was duidelijk dat met dit plan de organisatie behoorlijk beter ‘in-control’ zou komen. Hoe cool was dat? En, omdat zij reeds een risicoanalyse had uitgevoerd op een project werd zij verantwoordelijk voor de pijler integraal risicomanagement.

Als eerste stap begon Kato intern te zoeken naar een risicomanagement beleid, maar helaas bleek het niet te vinden. Het enige wat er eigenlijk over risicomanagement was te vinden was een stukje tekst over risicoreserve in het jaarverslag. Dan maar even googelen en wat oud-studiegenoten mailen, en na wat research kreeg ze een paar voorbeelden opgestuurd.

Vol enthousiasme ging ze ermee aan de slag. Ze sprak intern met een paar collega’s en ook een paar oud-docenten. Op die wijze had ze snel een eerste concept met een heldere doelstelling; met risicomanagement willen wij de risicobereidheid van onze organisatie vergroten. In het beleid werd ook duidelijk het Three Lines Model gebruikt waarbij natuurlijk de eerste lijn het sterkst moest zijn. Ook zorgde ze voor een plan van aanpak, met het bijbehorende budget wat noodzakelijk was voor de begeleiding, training en een risicoregister. 

Na goedkeuring en het tegenlezen van de concerncontroller mocht ze het presenteren voor de Management Team. Iedereen leek in beginsel enthousiast, maar ze kreeg wel het gevoel dat iedereen te druk was voor haar project.

Tegenslag

Achteraf gezien bleek haar gevoel juist. Het project risicomanagement werd naar achteren geschoven. Er waren nu andere prioriteiten, want informatiebeveiliging stond bovenaan de agenda doordat er bij meerdere organisaties veel ransomware-aanvallen waren geweest.

Er was van buitenaf een CISO aangesteld die veel ervaring meebracht en met zijn nieuwe beleid alle aandacht kreeg. Het rare was eigenlijk dat de CISO niet in het team van control zat maar direct onder de directeur.  

Kato besloot klein te beginnen. Met een gesprek per afdelingshoofd wilde ze de organisatie eerst risicobewust maken. Dan zou ze daarna de standaardrisico- en controllijst kunnen verspreiden. Bij het plannen van de afspraken werkte niet iedereen mee. Een paar afdelingen waren echt druk en hadden te maken met een tekort aan personeel. Maar gelukkig lukte het wel bij zes van de tien afdelingen om de gesprekken in te plannen. Het eerste gesprek ging goed. Het afdelingshoofd stond ervoor open en vond het zelfs belangrijk. Helaas ging het tweede gesprek vanwege corona niet door. Van de resterende gesprekken was de hoofdlijn dat men begreep wat er moest gebeuren om meer in control te komen.

Na de eerste gesprekken kreeg elk afdelingshoofd via een e-mail het verzoek om het format in te vullen. Ze stelde de deadline op 1 maart zodat iedereen 4 weken de tijd had. Ondertussen werkte ze mee aan de fraude-risicoanalyse die door KPMG uitgevoerd werd.

Op 1 maart had ze slechts 1 format retour. Ze besloot een reminder te sturen en ook te escaleren naar de concerncontroller. Deze agendeerde het onderwerp gelijk op de agenda van het MT. Helaas kwam uit dit overleg naar voren dat de timing nu echt niet goed was en bovendien dat er al veel andere formats vanuit financiën, privacy en fraude waren ingevuld. Er werd verzocht de afdelingen nu zo min mogelijk te belasten en zo veel mogelijk zelf als business controller de administratie op te pakken.

Ga samenwerken!

Woedend kwam ze thuis. Ze kwam geen steek verder. Wat moest ze doen? Haar partner Bas was ondernemer en stelde haar zoals gewoonlijk wat kritische vragen. Als directeur begreep hij heel goed waar het om ging. Door alle nieuwe wet-en-regelgeving kwam er zoveel verplichte administratie dat organisaties niet meer aan de gewone business toekwamen. Hij vroeg haar hoe ze samenwerkte met de CISO, FG en financiën. Ze gaf aan dat ze wel eens met elkaar vergaderden en een beetje afstemden, maar dat ieder toch vooral zijn of haar eigen project aanpakte. Is dat dan niet de oplossingsrichting Kato? Volgens mij doorlopen jullie allemaal hetzelfde proces? Wetgeving vertalen naar uitvraag in de organisatie of de beheersmaatregelen wel/niet aanwezig zijn, en dit dan weer rapporteren? Als jullie nu eens echt gaan samenwerken en een dialoog organiseren waarbij elke risicospecialist een paar controls kan uitvragen per afdeling. Dan ontlast je de organisatie enorm. En wellicht kun je met jouw risicomanagementkennis deze risicospecialisten helpen wat de key risico’s en key controls zijn? Dus focus eerst op je collega’s voordat je de afdelingshoofden lastig gaat vallen.

Kijk, wat was ze gelukkig met haar Bas die logisch bleef nadenken. Vol enthousiasme ging ze maandag naar kantoor; ze zou gaan samenwerken, een netwerk van de tweede lijn opzetten.

De concerncontroller vond het gelijk een goed idee en gaf haar aan ook met Desi van afdeling communicatie te praten om haar hierbij een beetje te helpen. Tijdens dit gesprek ontstond het idee om het netwerk “Stichting vrienden van de tweede lijn” te noemen.

Desi maakte een mooie infographic zodat op een simpele manier duidelijk werd wat het doel en proces was.

Met dit verhaal onder de arm organiseerde zij een bijeenkomst voor de tweede lijn met als doel hoe ze konden samenwerken. Helaas gaf de CISO aan dat hij echt zijn eigen pad wilde volgen omdat hij daar al druk genoeg mee was. Hij was bezig een ISMS-tool in te richten, zodat alle controls en werkinstructies voor iedereen beschikbaar kwamen. Het was duidelijk dat dit voor elke afdelingsmanager een behoorlijke impact zou hebben.

Gelukkig ging de rest wel mee! Ze bundelden de belangrijkste risk- en control frameworks aan elkaar en uit al deze controls haalden ze 20 key-controls die relevant waren voor 2022. Ook ontwikkelden ze een goede risico-dialoog om in korte tijd de afdelingsmanagers te helpen met deze administratie (helpen maar niet overnemen!). Hierdoor werden ze niet vijf keer lastiggevallen maar slechts twee keer. Door de vastlegging in een mooie tool genaamd NARIS-GRC® kon een eerste integraal beeld worden gepresenteerd aan de directie. Belangrijkste boodschap was hierbij; er gaat al heel veel goed! Na de presentatie gaf de directie aan ook de strategische risicodialoog te willen voeren en of zij dit wilde begeleiden. Natuurlijk wilde ze dat!

Stuiterend van de energie kwam ze thuis. Haar jaar was geslaagd, nu tijd voor even loslaten en een fijne kerstvakantie met haar gezin en familie. Volgend jaar nieuwe kansen!

LinkedIn
Twitter
Facebook
Email
Print
business controller

In het kort:

Meer artikelen: