Erik van Marle – Blog over risicomanagement

www.naris.com


1 reactie

Risico’s en Kansen van de Afsluitdijk

Vanuit de NVRB (Nederlands Vereniging voor Risicoanalyse en Bedrijfszekerheid) is in samenwerking met Rijkswaterstaat een excursie naar de afsluitdijk georganiseerd. Geheel in het teken van de drijfveren van de NVRB; kennisdelen en je netwerk uitbreiden.

Historie

Het verbeteren van de toekomst begint met een bezinning op het verleden. De afsluitdijk heeft inmiddels 90 jaar dienst gedaan en heeft iedere 15 tot 20 jaar een grote storm doorstaan en overleefd. En nog steeds voldoet de dijk (officieel een dam). Een nice to know is dat de dijk indertijd door Defensie is gefinancierd en er daarom draaibruggen in de dijk zitten opdat er geen ‘schietschijven’ zouden ontstaan.

 Opgave

De opgave is groot. Tegenwoordig hebben we meer inzicht in het bepalen van de benodigde sterkte. Bestaan er wetten waaraan voldaan moet worden en is er meer capaciteit nodig om water af te voeren. En gezien de te verwachten klimaatveranderingen neemt dit alleen nog maar toe. Sinds 2006 weten we dat de huidige afsluitdijk niet meer voldoet aan de wettelijke vereisten. Vanuit compliance oogpunt wellicht een risico, praktisch gezien volstaat de dijk nog steeds.

Waar vroeger de berekeningen uitgingen van de kans op overschrijding en er een afweging werd gemaakt mede gebaseerd op economische schade en de kans op slachtoffers is de nieuwe waterwet gebaseerd op de overstromingskans. RWS als opdrachtgever beoogt weer een levensduur van 100 jaar en dient daarbij tegelijk rekening te houden met de te verwachten zeespiegelstijging. Het grootste risico? Dat we de 90 jaar oude dijk weer als basis voor de vernieuwing gebruiken?

Aanbesteding

Om dit soort contracten goed te kunnen aanbesteden is er derhalve veel overleg voorafgaan aan de aanbesteding. Kansen en risico’s worden gedeeld en besproken. Eisen uitgelegd. RWS stelt esthetische eisen om wederom een kunstwerk te kunnen presenteren. Technisch is het de uitdaging om het toonbeeld voor de rest van de wereld te blijven. Nu al is dit project een ‘kraamkamer’ voor innovatie. Zo zijn de levelblokken om de dijk te versterken als innovatie uit de project gekomen en hebben meerdere partijen reeds opstellingen om energie op een alternatieve wijze op te wekken. Turbines op getijdestroom of zoet/zout water samenbrengen zijn hier mooie voorbeelden van.

Uiteindelijk is er een DBFM (Design Built Finance Maintenance) contract gesloten met een onderhoudsduur van 25 jaar voor het consortium. De afsluitdijk is een redelijk scopevast project en dus zou de contractvorm goed moeten passen. Ervaringen met andere grote infrastructurele projecten zijn minder goed en kunnen leiden tot grote financiële risico’s voor de aannemers in het begin van het project. Het merendeel van het geld wordt in deze constructie namelijk verdiend tijdens de onderhoudsperiode.

Risico’s en kansen

Het consortium Levvel doet er alles aan om op voorhand de risico’s en kansen goed in kaart te brengen. Zo wordt er gewerkt met gaming technologie om de bediening van de machines in de dijk zo levensecht mogelijk na te bootsen. Veel gaat automatisch maar de mens blijft een cruciale schakel.

Technisch worden er door RWS eisen gesteld inzake faalkansen mbt hoogwaterkering, passeren scheepvaart, afvoeren water, etc. Doormiddel van foutenbomen probeert men alle mogelijk scenario’s door te denken en beheersing hierop af te stemmen. Genoemde risico’s zijn onder andere:

  • Technische verstoringen
  • Onbedoelde obstakels
  • Vastlopen van de keersluis
  • Veiligheid van het onderhoudsteam

Naast de faalkanseisen worden er ook prestatieeisen gesteld. Worden deze niet gehaald dan volgt er een boete voor het consortium. Dit kan snel hoog oplopen en dwingt het consortium om cruciale beheersmaatregelen bijvoorbeeld redundand uit te voeren.

Machineveiligheid

Een dijk is ook een machine! En degene die substantiële wijzigingen aanbrengt wordt beschouwd als de fabrikant. Wellicht een beetje kort door de bocht voor de echte experts maar de conclusie is wel dat er een overkoepelend CE certificaat moet komen voor de afsluitdijk om ervoor te zorgen dat er aan alle wettelijke eisen wordt voldaan. Dat heeft nogal wat voeten in aarde. Zie onderstaande risico’s die dan moeten worden meegenomen.

Conclusie

De afsluitdijk is reeds een kunstwerk waar de rest van de wereld naar komt kijken om te zien wat de standaard is. Met de verzwaring en verhoging waar nu mee begonnen wordt anticiperen we op de (klimaat) risico’s van de toekomst en zetten we weer de standaard neer. Iets om trots op te zijn! No risk No Fun No Glory!

Ps. Vergeet niet het Wadden Center te bezoeken, een hele leuke plek voor jong en oud, waar we heel erg risicobewust worden van de gevaren die we beheersen!


Een reactie plaatsen

Risicomanagement bij onderhoudsstops

Op het ambassadeursnetwerk voor woningcorporaties is als ‘peer review’ een presentatie geweest van Adriaan Lefeber van HVC. Het duurzame energie- en afvalbedrijf van 44 gemeenten en 6 waterschappen.

De opgave waar HVC voor staat is complex. ‘Van Gas Los’, verduurzaming van het afvalbeheer, de afvalstroom circulair maken, rest energie terugleveren en alles wat daarbij komt kijken.

1 grote Machine

1 grote Machine

De productielocaties kunnen bijna als 1 grote machine worden gekenmerkt. De afvalstroom wordt verbrand waarbij er zo weinig mogelijk uitstoot mag plaatsvinden. Een leuk weetje; de hoeveelheid rook die je ziet zegt niets over de hoeveelheid uitstoot. Sterker, vaak is het zo dat hoe minder je ziet hoe meer uitstoot!

Groot Onderhoud

De afvalcentrales hebben meerdere lijnen die regelmatig onderhoud nodig hebben. Dit onderhoud is enerzijds om de beschikbaarheid op de lange termijn te waarborgen maar ook om continue het energierendement te verbeteren. Elke lijn heeft iedere 2 jaar groot onderhoud. De turbines in de lijn iedere 6 jaar.

Even voor de verbeelding. De ketels zijn tientallen meters hoog en er worden metershoge stellingen in aangebracht om de wanden te controleren en te repareren. Werkzaamheden dien in de juiste volgorde op elkaar te worden afgestemd om te voorkomen dat men boven elkaar werkt en er gevaarlijke situaties ontstaan.

Risico’s

Bij HVC is risicomanagement onderdeel van het kernproces. Zonder gedegen risicomanagement kunnen deze industriele processen niet veilig worden uitgevoerd. Belangrijke risico’s die continue op de agenda staan zijn:

  • Lekkage van de ketel eerder dan gepland onderhoud
  • Energiederving waardoor opbrengsten uit elektriciteit en warmte lager zijn
  • Onderdelen die niet op tijd beschikbaar zijn (sommige moeten 2 jaar voor het onderhoud worden besteld)
  • Uitloop in tijd
  • Onvoldoende personeel bij aannemers
  • Vakbekwaamheid personeel inclusief de verplichte papieren
  • Hoeveelheid mensen. Tijdens een onderhoudsstop kan de hoeveelheid extra mensen op het terrein van HVC oplopen naar 300.
  • Veiligheidsprestaties van aannemers en HVC mensen. Ongevallen liggen snel op de loer.

Beheersing

De beheersing van deze risico’s gaat niet alleen op individueel risiconiveau. Veel beheersing vindt plaats door zorgvuldige lange termijn planning. Zo worden een aantal risico’s beheerst door goed Assetmanagement. Het op orde hebben van het voorraadbeheer, continue monitoren van de kwaliteit van gebruikte materialen, het doen van metingen, etc.

Er is ook een rechtstreek verband met de strategische plannen van HVC. Marktontwikkelingen rondom afval (denk aan de recente publicaties over AEB / Afval EnergieBedrijf Amsterdam) en de daaruit verwachte vraag aan verbrandingscapaciteit. Ook de kwaliteit van het ingekochte afval is zeer bepalend voor resultaten die behaald kunnen worden.

Tenslotte gaat het om hele grote investeringen rondom een onderhoudsstop. Een zorgvuldige planning en begroting van budgetten is noodzakelijk om de noodzakelijke financiële stromen te kunnen borgen.

Veiligheid

Veiligheid is continue cruciaal. Adriaan heeft 2 keer een dodelijk ongeval meegemaakt in zijn carrière en dat blijft je altijd bij. Afspraken rondom Veiligheid en Gedrag zijn leidend. Een gedegen voorbereiding en continue monitoring zijn essentieel. Hieronder een kort overzicht van hoe dit eruit kan zien:

  • Voor de Werkvoorbereiding
    • Onderhoudsplanning in preventieve en correctieve werkorders
    • Bevroren scope
    • Selectie van aannemers obv hoge kwaliteitseisen
    • HVC veiligheids&gedragsregels zijn leidend
    • V&G plan
    • Werkvergunningenlijst en veiligstellijst
    • Stopplanning
  • Tijdens de onderhoudsstop
    • Stopplanning
    • Daily standup met aannemers
    • Dagelijks veiligheidstoezicht door HVC
    • Gasmeetrondes in besloten ruimten
    • Check op werkvergunningen
    • Mangatwachten
    • Veiligheidsapp om incidenten te melden
    • Bedrijfsnoodplan en Crisismanagementplan
  • Evaluatie
    • Inspectieverslagen
    • Evaluatieoverleg met alle betrokkenen en vaststellen van de verbetermogelijkheden

Conclusie

Voor HVC geldt dat het uitvoeren van hun core-business alleen kan in een integrale aanpak. Van het registreren van incidenten, het doen van veiligheidscontroles, het afwikkelen van schades, etc. Het is een integraal proces waarbij continue verbeteren het uitgangspunt is. Een bedrijf midden in de samenleving hoort dit gewoon zo te doen. Ze doen het gewoon!

Het ambassadeursnetwerk voor woningcorporaties is een initiatief van Aedes Vereniging van Woningcorporaties en Naris, Het Governance, Risico en Compliance Platform. Het netwerk van >100 corporaties komt 2 keer per jaar bijeen om te leren van elkaar maar ook van andere sectoren. Er worden updates gedeeld en natuurlijk het netwerk verbreed.

Kennis wordt iets waard als je het deelt!


1 reactie

Risico Control Matrix succesvol implementeren

Uitgangspunten:

  • Natuurlijk hoort de verantwoordelijkheid voor risico’s in de 1e lijn
  • Leiderschap is belangrijker dan meer controls
  • We willen weten welke risico’s onze doelstellingen bedreigen
  • Diversiteit van betrokken is noodzakelijk meerdere expertises aan tafel te hebben
  • Dialoog is cruciaal om tegenspraak te organiseren
  • Het gaat om vertrouwen – trust – confidence – etc.
  • Maar….

Imago

> 80 % van het risicoprofiel gaat om de ‘te minimaliseren’ risico’s (Kaplan). Dit gaat over het functioneren van de organisatie en is daarmee een grote verantwoordelijkheid van management om aan te geven of we hier de goede dingen doen en deze goed doen! Als in de operatie zaken niet goed lopen staan organisaties snel in de krant. Of we dit nog risicomanagement moeten noemen is de vraag. Business as Usual is wellicht beter.

Het belang van deze risico’s is dus groot. Niet alleen vanuit het perspectief Imago maar ook omdat het gaat over alle soorten assets en dus uiteindelijk over balansposities en W&V rekening.

Standaardiseren / Best Practice

De zogenoemde 1e lijn zijn de ‘handen aan het bed’. Nooit opgeleid om risico’s en beheersmaatregelen op te schrijven. Ook niet in de wieg gelegd om de procesbeschrijvingen op te pakken. Met hen workshops doen voor het draagvlak klinkt leuk maar weinigen zitten te wachten op de discussie hoe je een risico beschrijft.

Inmiddels hebben wij mooie voorbeelden hoe door een hele goede voorbereiding de ‘In Control’ doelstelling sneller behaald kan worden. Inclusief een actieve en blijvende rol voor de 1e lijn!

Vanuit onze professionele opdrachtgevers kunnen wij heel duidelijk zien dat sturing op de Key processen, risico’s en controls voldoende comfort geeft. Alleen in geval van bepaalde incidenten of aandachtspunten vanuit de toezichthouder wordt de scope verbreed. Een 2e lijn die de business begrijpt kan voor deze processen 95% van de risico’s en te verwachten controls beschrijven.

Met de business voeren we alleen nog de discussie wat applicable of non-applicable is. We vragen ze tests op de controls uit te voeren en effidence up te loaden. Het dossier voor een eventuele (externe) audit is gereed.

NARIS GRC

Laten we de workshops bewaren voor innovaties, projecten, scenariodenken, strategieontwikkeling, etc.


Een reactie plaatsen

Succesvol GRC-implementeren

Voor wie en waarom….en dan pas hoe en wat!

Voor wie en waarom doen wij (GRC specialisten) het eigenlijk?

De twee belangrijkste vragen die iedere 2e lijn zichzelf zou moeten stellen. Maar ook de ontwikkelaars van GRC systemen. Jarenlang zijn deze systemen ontwikkeld vanuit het gezichtspunt dat we veel informatie willen administreren, voor externe toezichthouders, die voldoet aan alle goverance codes en wetgeving waar de organisaties mee te maken hebben. Geen wonder dat systemen hierdoor complex, onoverzichtelijk en bovenal heel ongebruiksvriendelijk zijn geworden. Toezichthouders willen steeds meer weten en dus steeds meer informatie ophalen. Bestuurders kunnen steeds harder afgerekend worden dus zekerheid over de werking van controls is cruciaal. Zie hier de spagaat.

Hoe mooi zou het zijn als onze systemen de day-to-day business zou ondersteunen? Dat iedereen er profijt van heeft? Hoe zou dat eruit zien? Ongeveer zo:

  1. Ik kan snel opzoeken of we hiermee voldoen aan onze compliance
  2. Ik kan snel taken uitzetten bij collega’s
  3. Als team hebben we inzicht in onze prioriteiten en kunnen we werk van elkaar overnemen
  4. Altijd hebben we real time zicht op de belangrijkste acties
  5. Incidenten kan ik eenvoudig melden en ik word over de voortgang automatisch op de hoogte gehouden
  6. Het goedkeuringsproces wordt automatische bijgehouden
  7. Ik kan putten uit kennis van andere afdelingen

GRC-systemen moeten je helpen om sneller en meer efficient je werk te kunnen doen. Misschien niet leuker, wel makkelijker! De belastingdienst is het ook gelukt, waarom ons niet?

De ‘Wie en Waarom-vraag’ moet dan ook beantwoord worden vanuit de ‘day-to-day’ business. Het gaat niet om volledigheid maar om toegevoegde waarde voor de administrateurs / business. Want dat is het uiteindelijk voor een deel. Net als je financien thuis! Als risk of compliance manager genoegen nemen met minder is best moeilijk maar wel een goede eerste stap. Als je weet hoe het de business helpt kun je in kleine stapjes de reis vervolgen. Beter goed zicht op een klein beetje dan troebel zicht op het totaal!

Hoe laten we dit dan goed aansluiten bij de business?

  • Voor de chauffeur is belangrijk dat er snel incidenten kunnen worden gemeld. De planner heeft het totaal overzicht en in geval van calamiteiten moet het eenvoudig zijn om te escaleren.
  • De afdeling hypotheken moet weten welke risico’s standaard zijn bij aanvragen en snel inzicht in de procedure bij afwijkingen is key. Sommige controls moeten altijd beoordeeld worden en dit moet eenvoudig kunnen.
  • Als sales wil je weten welke contracten op scherp staan. Of de partijen met wie we zaken doen geen risico’s met zich meebrengen en ratio’s niet snel veranderen waardoor betalingsproblemen zich kunnen voordoen.
  • Als afdeling inkoop wil je het toeleveranciersrisico spreiden. Leveranciers mogen niet teveel afhankelijk zijn van jou en bovendien moet je altijd een fallback hebben.
  • De projectleider wil bij de start weten welke wet- en regelgeving van toepassing is en hoe dit de scope beinvloedt. Daarnaast zijn verstoringen van belang zodat er snel over alternatieven nagedacht kan worden.
  • De bestuurder / CEO is in control als het totaal aan afwegingen en keuzes eenduidig wordt gedaan en dit proces ook automatisch wordt vastgelegd. Hiermee kan de CEO zich verantwoorden.

De dashboards binnen het GRC vraagstuk moeten dus veel persoonlijker worden. Consolideren op risk / compliance / kwaliteit / audit is het makkelijkst!


Een reactie plaatsen

Trends in Risico’s en de kansen die dit biedt

Schermafbeelding 2018-10-15 om 21.41.25Verandering is tegenwoordig nog de enige constante. Digitalisering van bedrijfsvoering is een continue ontwikkeling. Systemen worden steeds meer met elkaar verbonden. Niet alleen binnen organisaties zelf maar ook tussen organisaties. En hoe houd je zicht op de risico’s die dit met zich meebrengt.

Operational controls worden steeds meer geautomatiseerd. Enerzijds door de softwareleveranciers en de garanties / certificaten die ze afgeven. Anderzijds door binnen de GRC software deze controls in hoogfrequentie te laten reviewen.

Toeleveranciers management

Sinds een kleine 10 jaar wordt het merendeel van de software als SAAS (Software as a Service) aangeboden. Cyber security / informatiebeveiliging is een issue voor al je toeleveranciers van deze software. Hoe goed ken je je toeleveranciers? En kun je dezelfde aanpak gebruiken voor je andere leveranciers? De aanpak kan immers vergelijkbaar zijn.

Assetmanagement

Data is een asset. Data heeft tegenwoorden een grotere waarde voor organisaties dan de reguliere assets die op de balans staan. Er zijn uitdagingen op het gebied van transparantie, kwaliteit, juistheid, privacy, wetgeving en maatschappelijke acceptatie. Alle zul je moeten beveiligen. Welke risicoafweging maak je? Doe je dit vanuit dezelfde risk appetite?

Wetgeving als concurrentievoordeel

Wet- en regelgeving loopt achter de actualiteit aan. Zeker in het geval van nieuwe technologien. Het anticiperen hierop kan een kernkwaliteit zijn en ervoor zorgen dat je kunt outperformen ten opzichte van je concurrenten.

Nieuwe technologie biedt kansen. Maar alleen als je heel goed in samenhang de risico’s die erbij horen kunt managen. Dit vraagt een continue afweging tussen deze risico’s, de mate van control en de prestatie waar je voor wilt staan als bedrijf.

Wat een energie als je dit in de vingers hebt. Het is niet voor niks dat de snelst groeiende bedrijven volop investeren in het automatiseren van Governance, Risk en Compliance!

 


1 reactie

Business in Control

Sonja Janicijevic, adviseur risicomanagement bij AON, geeft samen met Robert ’t Hart en Erik van Marle (beide directeur bij Naris) een boeiende presentatie over business in control. Samen lichten ze het hoe, waarom, en vooral de grote meerwaarde van hun samenwerking toe.

De samenwerking

Sinds ongeveer een jaar werken Naris en AON samen om hun opdrachtgevers nog meer toegevoegde waarde te kunnen bieden. AON adviseert in de opzet en de implementatie, en in de toepassing van risicomanagement, en Naris biedt tooling aan om datzelfde proces goed te integreren en te borgen. Robert ’t Hart vertelt dat het Naris softwarepakket kennis deelt tussen alle gebruikers. Aon heeft deze kennis volop in huis. Kennisdeling en borging van risicomanagement en compliance met de Business in Control aanpak helpt de opdrachtgevers bij het maken van goede keuzes.

AON past het risicomanagement pragmatisch toe. De uitdaging is om deze lijn door te trekken en structureel toe te passen. De tooling van Naris helpt erbij om het risicomanagement echt iets van de organisatie te maken, een vibrerende, levende zaak. Kortom een samenwerking die duurzaamheid beoogt.

Schermafbeelding 2019-03-26 om 22.45.37

Een hoger plan

Maar hoe breng je risicomanagement nu samen naar een hoger plan? De kunst is om het risicomanagement goed en pragmatisch te implementeren, zodat het naadloos aansluit bij de organisatie. Traditioneel risicomanagement focust op het proces (hoe richt ik het proces goed in, hoe organiseer ik de verantwoordelijkheden eromheen, en hoe krijg ik die risico-informatie naar boven waar ik op moet sturen). Om dit naar de volgende fase te tillen moet vooral worden gekeken naar de effectiviteit van de te nemen maatregelen. Zijn deze maatregelen echt genomen, hebben ze daadwerkelijk tot het doel geleid, en hebben ze het risicoprofiel verbeterd? Zekerheid hierover geeft bestuurders en management vertrouwen om risico’s te blijven nemen. Zo krijgt risicomanagement betekenis.

De risicoloze wereld

We opereren in deze tijd in een enorme dynamiek, en binnen grote complexiteit. Binnen die complexiteit worden voortdurend risico’s en kansen op ons afgevuurd. In de maatschappij zie je dat als er een incident voorvalt, we scherpe vragen gaan stellen en het incident willen uitbannen. We lijken te verlangen naar een risicoloze wereld. Als reactie hierop proberen we regels te verzinnen, maar ook fysieke maatregelen te treffen om deze risico’s voor te zijn.

In de business in control-aanpak van AON en Naris wordt gefocust op sturing maar ook op verantwoording van de inrichting van het risicomanagementproces. Allereerst wordt ervoor gezorgd dat het traditionele stuk op orde is, en vervolgens verschuift de aandacht naar de borging van de controls. Dit door middel van periodieke checks met ‘lichte audits’ / assessments.  Er hoeft hier niet per se een auditafdeling voor aanwezig te zijn, de assessment is onderdeel van de aanpak die Aon en Naris bieden. Borging van de key controls is essentieel en geeft aan in hoeverre risicomanagement daadwerkelijk effectief is.

Three Lines of Defense

Wat betreft de risico’s die het bedrijf bedreigen: het management zal bewust en proactief moeten zijn. De kunst is om als tweede lijn alleen maar te faciliteren bij het in beeld brengen en managen van risico’s, en het proces vooral niet over te nemen. Het doorvoeren van maatregelen is en blijft de verantwoordelijkheid van de eerste lijn, integraal met de verantwoordelijkheid voor de aansturing van de onderneming.

De waarde van dialoog

Het is belangrijk om het gesprek over risico’s op gang te houden, of het nu één op één of in een groepssessie gebeurt. De facilitator (2de lijn) stelt vragen en helpt gedachten te orderen. De risico-eigenaren formuleren zelf de risico’s en voelen daarmee het eigenaarschap en de verantwoordelijkheid voor actie. Voortdurende risico-dialoog leidt tot bewustwording over risico’s en over de noodzaak tot actie nemen. Deze aanpak draagt bij aan de insteek van de nieuwe COSO: zorg dat je dicht bij de strategie en sturing van je organisatie blijft, zorg dat het leeft!

De voordelen

Een groot voordeel van deze werkwijze is dat de focus ligt bij de resultaten van risicomanagement: de realisatie van maatregelen en daadwerkelijk verbeteren van het risicoprofiel. Dit verkoopt naar de business! Ook wat betreft het in control statement wordt zo aangetoond dat de organisatie goed zicht heeft op de belangrijkste risico’s. Daarnaast is het belangrijk dat je als bedrijf leert van het wel of niet werken van de beheersing, en dat ’three lines of defence’ goed en duidelijk samenwerken.

De praktijk

Erik van Marle vertelt dat de kracht zit in de combinatie. Als adviezen niet geborgd worden is het lastig om erop terug te komen. Bij leiderschap is het nakomen van gemaakte afspraken essentieel. Door monitoring van de status van risicobeheersing is focus op de effectiviteit van risicomanagement gevestigd. Als je dit doet met de Naris software kun je in één afbeelding zien wat mensen met elkaar willen bereiken. Je kunt daarnaast heel helder herkennen welke risico’s de doelstellingen van het bedrijf bedreigen. Deze combinatie zal het bestuur het vertrouwen geven bij het nemen van belangrijke beslissingen. Tegenwoordig zit er dus veel meer dynamiek in de control: Max Verstappen rijdt zo hard omdat hij honderd procent vertrouwt op de remmen die hij heeft.


1 reactie

ING’s mislukte 3-line of Defence model in Witwas schandaal!

Financieel Dagblad Zaterdag 8 september

IMG_20CD16F24B89-1

De 3 afdelingen ‘business’, ‘compliance’ en ‘internal audit’ binnen ING hebben langs elkaar heen gewerkt. Niemand voelt zich verantwoordelijk voor het geheel. ‘Velen waren gezamenlijk verantwoordelijk voor een deel van het verwijtbare gedrag’ geeft het OM aan.

Laat dit nu net het probleem zijn waar de Monitoring Commissie Corporate Governance Code in de laatste update heel veel aandacht aan heeft besteed. De code is tegenwoordig zelfs wettelijk verankerd.

Corporate Governance Code

De Code besteed veel aandacht aan Risicomanagement. Ze geeft daarbij zelfs aan dat ondernemerschap het realiseren van kansen is door op een bewuste wijze risico’s te nemen. Hiervoor is essentieel een adequaat risicobeheersingssysteem. Dit moet onder andere een vooruitblik geven op die risico’s die het voortbestaan van de organisatie in de weg kunnen staan. Expliciet wordt hierbij aangeven dat de auditfunctie hier een steeds belangrijkere rol in gaat spelen. Immers, het bestuur en de raad van commissarissen krijgen door deze functie echt inzicht in de werking van het risicobeheersingssysteem van de organisatie.

3-Lines of Defence

De uitgangspunten van het 3-lines of defence model zijn volgens mij al heel lang erg duidelijk. De ‘business’ (1st line) is eindverantwoordelijk voor de keuzes die ze maken en de risico’s die ze businesswise aangaan. Hier zou bij een organisatie als ING toch geen onduidelijkheid over moeten bestaan?

‘Compliance'(2de line) ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.

‘Internal Audit’ (3de line) voorziet de hoogste leiding van zekerheid over de kwaliteit van sturing en beheersing. Ze is dus niet in directe zin verantwoordelijk voor de kwaliteit van het in control zijn van de organisatie maar wel verantwoordelijk voor de mate waarin ze in staat is om de inconsistenties in de opzet en het bestaan van de control frameworks te analyseren en zichtbaar te maken.

De praktijk is altijd weerbarstig maar heeft vaak wel te maken met ego’s/cultuur. De praktijk leert dat iedere lijn z’n eigen systemen wil en het liefst de Rolls-Royce. Het kost organisaties ontzettend veel tijd om hier keuzes in te maken. Hierdoor verschuift uiteindelijk de aandacht en de urgentie. ‘Business’ voelt zich altijd superieur en dus volgt Compliance en Audit. Het gevolg hiervan is dat de systemen om het risicomanagement en beheerssysteem niet gaan functioneren. Bestuur en management missen het zicht op de kansen en bijbehorende beheersing.

4 Aanbevelingen:

  1. Alle afdelingen zullen moeten werken in hetzelfde systeem!
  2. Het bijhouden van kansen die genomen worden en de beheersing die hierbij past is een verantwoordelijkheid van de ‘business’;
  3. ‘Audit’ en ‘Compliance’ zijn leading in de keuze van de systematiek en het systeem;
  4. ‘Audit’ legt rechtstreeks uit het systeem verantwoording af over de bevindingen en aanbevelingen aan bestuur en raad van commissarissen.

ING

Dit is het ultieme moment voor ING om het juiste risicobewuste gedrag in de organisatie te stimuleren en de cultuur te veranderen. Maak de ‘business’ expliciet verantwoordelijk voor het benoemen en beheersen en dus vastleggen van dit soort risico’s. Bepaald dat ‘Compliance’ en ‘Audit’ bepalen via welk proces en systeem er gewerkt dient te worden. Het heeft geen zin nog meer afvink gedrag te stimuleren door meer compliance officers aan te stellen. Zorg dat de ‘business’ begrijpt wat ze aan het doen zijn en dat het hun verantwoordelijkheid is.

‘Never let a good crisis go to waste’ Winston Churchill