Hoe een business case te realiseren in een zwaar gereguleerde context?
Door Arnoud Kerkhof
In het huidige globale economische klimaat streven overheden steeds meer naar het uitoefenen van controle over regelgevende aspecten zoals belasting, privacy, digitale munteenheden en security. Het primaire belang hierbij is het beschermen van de kritische infrastructuur van het land. Wanneer een internationale bank bijvoorbeeld haar interne IT afdeling afsplitst, zijn er typisch veel regulerende instellingen die onmiddellijk het carve-out proces monitoren en de integratie met de koper streng controleren.
Dit brengt kritische uitdagingen met zich mee voor kopers, aangezien deze tegelijkertijd moeten voldoen aan de regelgevende eisen, maar ook de business case moeten realizeren. Regelgevende eisen zoals audits, voorwaarden voor het ontwerp en de opzet van security, governance, naleving en identiteits-/toegangsmanagement hinderen vaak het post-merger integration (PMI) proces en veroorzaken vertragingen in het effectief en efficiënt opzetten van het Day 2 operating model.
Het Day 2 operating model markeert de volledige onafhankelijkheid van de verkoper en de exit uit de Transition Service Agreement (TSA). Daarnaast moet de eerste maanden vaak noodgedwongen focus zijn op het nakomen van de regelgeving vereisten, wat vaak tot frustratie leidt onder het personeel en daarmee de Day 1 governance complexer maakt. Dat komt bovenop de klassieke uitdagingen die een PMI met zich meebrengt, zoals het ontwikkelen van nieuwe inkomstenbronnen, kosten rationalisatie en optimalisatie, en het managen van personeelsverlies. Als dergelijke uitdagingen niet snel beantwoord worden, verhoogt dit het aantal risico’s en potentiële issues aanzienlijk. Vertraagde reactie kan worden veroorzaakt door issues op het gebied van governance, aarzeling om tot actie over te gaan en hand-over issues tussen (consulting) partners die het integratieproces ondersteunen.
Vier regelgevingselementen om op te focussen gedurende een post-merger integratie fase
Om als koper aan de behoeftes en eisen van de regelgevende autoriteiten te voldoen is het belangrijk om onmiddellijk na Day 1 te focussen op vier regelgevingselementen. Ideaal gesproken worden activiteiten daarvoor gedurende de Day 1 voorbereiding gestart en uiteindelijk geïntegreerd in de integratieplanning voor de eerste 100 dagen. Het is echter niet ongewoon dat deze verder ontwikkeld en geïmplementeerd moeten worden gedurende de PMI fase. Het belangrijkste is dat men ervoor zorgt dat het PMI proces soepel verloopt en kritische regelgevingsissues voorkomen worden:
A. de identificatie en definitie van de regelgevingsvereisten;
B. de implementatie van ad interim risk, audit, compliance, en security processen;
C. het opzetten van projecten die zich richten op het integreren van de regelgevingsvereisten in het – op de business case gebaseerde – Day 1 operating model; en
D. het bouwen van een governance structuur die een flexibele/snelle respons op regelgevingsvereisten borgt.
A. Identificatie en definitie van de regelgevingsvereisten
Identificatie en definiëring van regelgevingsvereisten kan triviaal klinken, maar het uitwerken van de requirements in de zin van dagelijkse IT service delivery processen en Business As Usual (BAU) service delivery governance zorgt voor een fit-for-purpose operating model voor Day 2 wanneer de TSA ondersteuning eindigt. Het voorkomt ook issues en escalaties gedurende de transformatie op weg naar Day 2. Praktische voorbeelden zijn het creëren van een gedetailleerd overzicht van contractuele en regelgevingsverplichtingen, en de volledige implementatie hiervan in de BAU service delivery processen, de PMI initiatieven en deliverables.
B. Implementatie van ad interim risk, audit, compliance, en security processen
Implementatie van ad interim risk, audit, compliance, en security processen en beleid gedurende de eerste 100 Dagen dekt de benodigde aanpassingen vanwege de machtswisseling – de nieuwe business context. Dit zorgt ervoor dat de respons op verzoeken gecontroleerd is, audit proof is en voldoet aan de eisen van de regelgevende autoriteit. Dat betekent niet noodzakelijk dat alle verzoeken op tijd en volledig beantwoord kunnen worden, maar het creëert in ieder geval transparantie over status, voortgang en naleving wat voorkomt dat audit issues op het laatste moment als crisis verholpen moeten worden.
C. Opzetten van projecten die zich richten op het integreren van de regelgevingsvereisten in het – op de business case gebaseerde – Day 1 operating model
Het is good practice om vroeg te starten met de voorbereiding voor het implementeren van de business case. Wanneer de projecten gedefinieerd worden die voor naleving van de regelgevingsvereisten moeten zorgen, is het raadzaam om de business case eisen meteen hierin mee te nemen zoals bijvoorbeeld voor offshoring. Het behalen van een optimale offshore ratio is om twee redenen cruciaal voor de business case: kostenbesparing en het vrij maken van onshore capaciteiten voor andere activiteiten zoals nieuwe business opportunities en ontwikkelingen. Het vroegtijdig starten met de voorbereiding van de transitie van activiteiten en services voor offshore genereert (vroege) realisatie van benefits en mitigeert risico’s; voorbeelden van dergelijke initiatieven zijn:
• evaluatie van data privacy vereisten en integratie daarvan in BAU processen en services met offshore potentieel;
• definitie en implementatie van EU model clausules voor toegang op afstand;
• afstemming over governance mechanismes (bijvoorbeeld de definitie van externe / offshore toegang tot de applicatie, infrastructuur, product, en/of service catalogus);
• validatie van het onboarding proces van extern personeel en toegangsrechten;
• vroegtijdige onboarding van offshore capaciteit kan de impact van personeelsverlies verminderen door structureel kennis vast te leggen.
Wanneer offshoring essentieel is voor het implementeren van de business case, is het belangrijk dat ook een gefocusd en effectief Organizational Change Management (OCM) programma opgezet wordt voor Day 1 voorbereiding, de eerste 100 Dagen, en de roadmap voor Day 2. Eén van de belangrijkste elementen in OCM is gericht op controleerbaarheid en correcte administratie d.m.v. PMI processen om te waarborgen dat aan regelgevingsvereisten in een zwaar gereguleerde context voldaan wordt.
Een aantal praktische richtlijnen:
• Verschaf op Day 1 duidelijkheid over de offshoring strategie en de kansen die dit biedt voor het huidige personeel.
• Gebruik de eerste 100 Dagen om een gericht OCM programma in te richten met onder meer guidance, communicaties, evenementen en interventies voor vendor consolidatie en het herontwerpen van diensten. Ook praktische (communicatie) richtlijnen voor het personeel zijn hierbij belangrijk, zodat duidelijk is hoe naleving van contractuele en regelgevingsvereisten gewaarborgd kan worden. Een voorbeeld van hoe dit te organiseren is een serie workshops per service lijn inclusief Q&A.
• Integreer de uitvoering van OCM in de Day 2 roadmap. Separeer daarbij de offshore activiteiten van de algemene Day 2 activiteiten, zodat reskilling en de nieuwe mogelijkheden voor personeelsontwikkeling duidelijker naar voren komen.
D. Bouwen van een governance structuur die voor flexibele/snelle respons op regelgevingsvereisten zorg
Het is van primair belang om een governance structuur voor BAU service delivery processen, PMI initiatieven en deliverables te ontwikkelen en te implementeren. Die governance structuur dient er hoofdzakelijk op toe te zien dat regelgeving en contractuele vereisten nageleefd worden. Het ontbreken van naleving kan leiden tot issues en escalaties gedurende de integratie, maar ook tot aanzienlijke regelgevingsboetes en kan zelfs de operationele licentie in gevaar brengen. Het is hierbij cruciaal een audit trail op te zetten en actief te onderhouden gedurende het integratie proces. Daarbij kan gedacht worden aan het ontwikkelen van artefacts (inclusief wie, wat, waar, forum), en de capaciteit om deze spoedig en volledig te kunnen rapporteren. Elementen die daar deel van zouden moeten zijn zijn historische data en beslissingen die een impact hebben op operationele scope en controles die gedurende het PMI proces uitgevoerd zijn door het Integratie Management Office. In een simpele context kan dit handmatig gebeuren, maar in een zwaar gereguleerde context zou dit geautomatiseerd moeten worden en deel moeten vormen van de eerste 100 Dagen van het PMI proces.
Om de regelgevings- en contractuele vereisten succesvol te managen, is het significant alle Day 1 voorbereidingen ruim voor Closing uit te voeren, op de sponsoring en steun van het top management te kunnen rekenen, en een consulting partner te kunnen betrekken die zowel de strategie als de implementatie kan ondersteunen. Het tijdig investeren in sterk en veerkrachtig Integratie Management Office (IMO)/PMI processen (first time right approach) weegt normaliter op tegen de risico’s van additioneel toezicht en aanzienlijke regelgevingsboetes.
Arnoud Kerkhof, Director M&A Consulting bij Tata Consultancy Services. Arnoud heeft meer dan 30 jaar ervaring in strategische, grote en complexe business & IT transformaties, welke vaak gedreven zijn door M&A, PMI en/of Digital.