Erik van Marle – Blog over risicomanagement

www.naris.com

Categorie archief: Audit


door Een reactie plaatsen

De kracht van de 2e lijn!

De verschillende implementatiemodellen op een rij en Best Practice Watermeloen+ model

Naar aanleiding van ons webinar ‘is de 2e lijn wel sterk genoeg?’ https://naris.com/nl/is-de-2e-lijn-wel-sterk-genoeg/

Er zijn ontzettend veel reacties binnengekomen op de verschillende modellen die wij gepresenteerd hebben. Met als eye-catcher het Watermeloen Model. Een nadere toelichting van dit model is gewenst en deze blog is hier een aanzet voor. In een vervolg blog zal ik ingaan op de resultaten die we gezien hebben bij klanten en hoe we het in NARIS GRC standaard beschikbaar maken.

Ons startpunt is altijd: Wat verwacht je? En van Wie? Maar vooral: Wat is het doel?

In onze ervaring cruciale uitgangspunten bij het bepalen van welk model het best past op je organisatie. Besef daarbij dat de 1e lijn geen expert is in het benoemen van risico’s….. en dit ook niet zal worden. Hetzelfde geldt voor het benoemen, monitoren en testen van controls.

De eerste vraag zegt iets over het feitelijke werk dat je verwacht. Hier komen de verschillende implementatiemodellen in beeld. Afhankelijk van het type bedrijf, cultuur, opleidingsniveau, sector, maatschappelijke impact, aantal externe toezichthouders, mate van toezicht, veiligheidsissues en ambitie moet er bepaald worden wat er geregistreerd moet worden en op welke wijze. Onderstaand geven we de mogelijkheden weer zonder daarin uitputtend te willen zijn.

Uit de tweede vraag leiden we af welke functies betrokken zijn bij het invulling geven aan Governance, Risicomanagement en Compliance. Willen we 1e lijn medewerkers echt betrekken en een rol laten spelen, of alleen de manager, of de businessunit manager? Dit kan ook nog verschillen per thema. Voor risicomanagement kan dit anders liggen dan voor compliance, kwaliteit, procesmanagement, etc.

Het antwoord op deze vraag bepaalt in belangrijke mate de reporting. Immers, de betrokken functies gaan alleen iets registreren als ze er ook inzicht en overzicht voor terugkrijgen. Nut en noodzaak moeten duidelijk zijn. Compliance is een driver maar zeker niet de enige.

Workshop Methode

Dit is van origine de meest gekozen methode. Vanuit de optiek dat zoveel mogelijk draagvlak moet worden gecreëerd en dat dit bereikt wordt door met elkaar te brainstormen over risico’s. Dit is een methode waarmee, mits goed uitgevoerd, veel creativiteit wordt bereikt, het risicobewustzijn wordt verhoogd en dus ook draagvlak. Nuttig en noodzakelijk in organisaties die veel en/of grote unieke projecten doen. Voor het reguliere proces is deze methode op het risico-identificatie proces niet echt nodig. Voor het identificeren en bepalen van de nut en noodzaak van controls kan het wel een aanvulling zijn.

VoordelenNadelen
Creatief procesKost veel tijd
Veel interactie met collega’sKost veel onderhoud
Mogelijkheid tot maatwerkOpenheid in de groep vraagt veel aandacht
Interactie tussen disciplinesHeeft een sterk eenmalig karakter
Groepsstandpunt / draagvlakIndividuele expertise kan ondersneeuwen

Wat verwacht je?

Parate kennis en goede verbale eigenschappen in een open cultuur. Je verwacht dat individuele expertise naar voren komt en dat iedereen elkaar aanvult.

Van wie: van alle workshopdeelnemers. Selectie is daarom cruciaal waarbij het voor het draagvlak altijd belangrijk is geen personen over te slaan. Teveel bias, zowel in samenstelling als iqua onderwerpen, moet je voorzichtig mee zijn. Vreemde ogen dwingen!

Risk Self Assessment Methode

In grotere organisaties of organisaties met veel stakeholders (supply chain, verbonden partijen) een veel gebruikt instrument. Sterker nog, veel van onze nationale toezichthouders gebruiken dit instrument vaak. Wij zijn overtuigd dat een regelmatige Self Assessment veel informatie kan opleveren over trends, wijzigingen en blind spots. Het blijft echter vaak wel aan de oppervlakte hangen en de grote vraag is dan ook of het voldoende inzicht geeft om goede conclusies te trekken? Onze ervaring leert dat het inzicht geeft maar dat daarna nog steeds een risico- en control analyse moet plaatsvinden om echt iets over de kwaliteit en volledigheid te kunnen zeggen.

Veel vragenlijsten worden doorgezet naar medewerkers waardoor je nog niet weet wie met welke expertise de vragen heeft beantwoord. Daarnaast kost het invullen toch ook altijd best veel tijd want zaken moeten wel uitgezocht worden.

VoordelenNadelen
SnelVeelal gericht op risico’s en niet op controls
EenvoudigAfstandelijk
Groot bereikExpertise lastig in te schatten
Tooling eenvoudig in te zettenPushen om informatie te verzamelen
Snelle reportingMultiple interpretabel

Wat verwacht je?

Adequate respons op de gestelde vragen en indien mogelijk een goede onderbouwing. Van de opstellers (veelal de 2e lijn) verwacht je een goede interpretatie van de antwoorden.

Van wie: van de geselecteerde respondenten. De kunst is om de uitvraag heel gericht te houden.

Watermeloen Model

Het Watermeloen model is gericht op de kwaliteit en volledigheid van bekende risico’s en controls. Het is dus veel directiever omdat risico’s en controls worden voorgeschreven door de 2e lijn. De 1e lijn zal moeten aangeven welke risico’s al dan niet van toepassing en zijn. En ook welke controls ‘in place’ zijn. Kijk voor meer informatie op: https://naris.com/nl/incontrol/

VoordelenNadelen
Duidelijke structuur en daardoor RCMVeel voorbereidingstijd 2e lijn
Hogere mate van volledigheidMinder inbreng 1e lijn
Hogere kwaliteitMeer compliance driven
Eenvoudig in gebruik 
Herleidbaar Risk Control Framework 

Wat verwacht je en van wie?

Van de 2e lijn voorbereiding en organisatietalent om key risico’s en controls goed te beschrijven. De 1e lijn zal moeten aangeven welke risico’s en controls van toepassing zijn en in welke mate.

Watermeloen+ Model

Een uitbreiding op het Watermeloen model kan door de 1e lijn nog meer informatie te vragen. Dit met name op de assurance van controls. De 1e lijn moet aangeven of ze de controls ook daadwerkelijk getest hebben en of ze evidence kunnen bijvoegen. Hiermee bereiken we een zo goed als volledige In Control Verklaring met benodigd dossier, opgesteld en verantwoord door de 1e lijn. De 2e lijn vervult een duidelijk rol van adviseur en begeleider. De 3e lijn kan een objectief advies geven over opzet, bestaan en werking.

VoordelenNadelen
Duidelijke structuur en daardoor Risk Control MatrixVeel voorbereidingstijd 2e lijn
Hogere mate van volledigheidMinder inbreng 1e lijn
Hogere kwaliteitMeer compliance driven
Eenvoudig in gebruikBegrip van controltesting nodig in 1e lijn
Herleidbaar Risk Control FrameworkKost tijd om evidence te verzamelen
Volledig dossier voor de accountant 
Duidelijke scheiding van verantwoordelijkheden tussen 1e, 2e en 3e lijn 

Wat verwacht je en van wie?

Van de 2e lijn voorbereiding en organisatietalent om key risico’s en controls goed te beschrijven. De 1e lijn zal moeten aangeven welke risico’s en controls van toepassing zijn en in welke mate. De 1e lijn zal tevens controls moeten testen en evidence kunnen toevoegen. Omdat de 2e lijn de rol van adviseur en begeleider heeft is dit echter geen drempel.

Advertentie


door 1 reactie

Hoe krijg je tijd voor Key Risks?

Kansen

Risicomanagement wordt as we speak echt op de proef gesteld. Alle aandacht gaat, volkomen terecht, uit naar het Coronavirus. De wereld om ons heen verandert heel snel, iedere dag nieuwe regels / omstandigheden waarmee we direct mee moeten kunnen omgaan. Onze flexibiliteit is nog nooit zo op de proef gesteld en ik weet ook heel zeker dat dit de maatschappij nog veel gaat brengen. Iedereen ervaart nu verplicht hoe eenvoudig het toch is om thuis te werken, niet voor iedere afspraak in de auto te stappen, de continuiteit van dienstverlening te flexibiliseren, etc. De bijkomende gevolgen zijn helemaal niet slecht….. minder CO2 uitstoot, minder geluidsoverlast, etc. Zou dit de push zijn die wij als wereldbevolking nodig hadden? Interesting!

Bedreigingen

Spannend is ook om te zien hoe goed bedrijven hun risicomanagement op orde hebben. Het Coronavirus is een Extern risico in de definitie van Kaplan. We ervaren hoe lastig de beheersing is omdat de beïnvloedbaarheid van het risico zeer laag is. Toch hadden we het in Europe op een gegeven moment zeker kunnen zien aankomen en ook al kunnen leren van de maatregelen die China had genomen, ondanks dat dit nog maar enkele weken oud was!

Waarom is dit zo weinig gebeurd?

Tijd?

Hebben we in onze organisaties voldoende tijd ingebouwd om de strategische en externe risico’s te managen? Risicobewuste organisaties, High Reliability Organizations, nemen in gevaarlijke situaties een TimeOut. Hebben we daar de tijd voor?

In Control

Er zit veel semantiek in de woorden ‘In Control’, ‘Alles onder controle’, ‘Controle’, ‘In Control Statement’, ‘In Control Framework’, etc. Wellicht moet de definitie zijn dat je ‘In Control’ bent op het moment dat er voldoende tijd over is om de echte risico’s te managen.

Afwijkingen verdienen aandacht!

Waarschijnlijk heeft > 80% van de risicoprofielen in organisaties een operationeel karakter. Het is heel menselijk / natuurlijk om juist daar te kijken waar het om de grote getallen gaat. Deze risico’s gaan namelijk ook vaak door onze belangrijkste processen en dus is het ook gebruikelijk dat er veel aandacht aan besteed wordt. Door audit, door de accountants, door de controller en daarmee door bestuur, management en RvC.

Toch zou ik willen adviseren om er op te vertrouwen dat deze risico’s en processen over het algemeen heel goed gemanaged worden door de organisatie. Het is hun Core Business. Aan de randen van de ‘normaal verdeling’ vinden de interessante afwijkingen plaats. Deze afwijkingen (incidenten), in positieve of negatieve zin, zijn de eerste signalen of er ergens iets stagneert. Durf het lef te hebben om minder tijd te besteden aan de controle op operationele risico’s.

En hebben we tijd voor een risicobewuste organisatie voor alle continue veranderingen en bijbehorende soorten risico’s. Lees:

  • Klimaatverandering
  • Cybersecurity
  • TCFD
  • Toeleveranciers
  • Economische teruggang
  • Veranderende wet- en regelgeving
  • Datalekken
  • Beschikbaarheid van kapitaal
  • etc.


door 1 reactie

Risico Control Matrix succesvol implementeren

Uitgangspunten:

  • Natuurlijk hoort de verantwoordelijkheid voor risico’s in de 1e lijn
  • Leiderschap is belangrijker dan meer controls
  • We willen weten welke risico’s onze doelstellingen bedreigen
  • Diversiteit van betrokken is noodzakelijk meerdere expertises aan tafel te hebben
  • Dialoog is cruciaal om tegenspraak te organiseren
  • Het gaat om vertrouwen – trust – confidence – etc.
  • Maar….

Imago

> 80 % van het risicoprofiel gaat om de ‘te minimaliseren’ risico’s (Kaplan). Dit gaat over het functioneren van de organisatie en is daarmee een grote verantwoordelijkheid van management om aan te geven of we hier de goede dingen doen en deze goed doen! Als in de operatie zaken niet goed lopen staan organisaties snel in de krant. Of we dit nog risicomanagement moeten noemen is de vraag. Business as Usual is wellicht beter.

Het belang van deze risico’s is dus groot. Niet alleen vanuit het perspectief Imago maar ook omdat het gaat over alle soorten assets en dus uiteindelijk over balansposities en W&V rekening.

Standaardiseren / Best Practice

De zogenoemde 1e lijn zijn de ‘handen aan het bed’. Nooit opgeleid om risico’s en beheersmaatregelen op te schrijven. Ook niet in de wieg gelegd om de procesbeschrijvingen op te pakken. Met hen workshops doen voor het draagvlak klinkt leuk maar weinigen zitten te wachten op de discussie hoe je een risico beschrijft.

Inmiddels hebben wij mooie voorbeelden hoe door een hele goede voorbereiding de ‘In Control’ doelstelling sneller behaald kan worden. Inclusief een actieve en blijvende rol voor de 1e lijn!

Vanuit onze professionele opdrachtgevers kunnen wij heel duidelijk zien dat sturing op de Key processen, risico’s en controls voldoende comfort geeft. Alleen in geval van bepaalde incidenten of aandachtspunten vanuit de toezichthouder wordt de scope verbreed. Een 2e lijn die de business begrijpt kan voor deze processen 95% van de risico’s en te verwachten controls beschrijven.

Met de business voeren we alleen nog de discussie wat applicable of non-applicable is. We vragen ze tests op de controls uit te voeren en effidence up te loaden. Het dossier voor een eventuele (externe) audit is gereed.

NARIS GRC

Laten we de workshops bewaren voor innovaties, projecten, scenariodenken, strategieontwikkeling, etc.


door Een reactie plaatsen

Succesvol GRC-implementeren

Voor wie en waarom….en dan pas hoe en wat!

Voor wie en waarom doen wij (GRC specialisten) het eigenlijk?

De twee belangrijkste vragen die iedere 2e lijn zichzelf zou moeten stellen. Maar ook de ontwikkelaars van GRC systemen. Jarenlang zijn deze systemen ontwikkeld vanuit het gezichtspunt dat we veel informatie willen administreren, voor externe toezichthouders, die voldoet aan alle goverance codes en wetgeving waar de organisaties mee te maken hebben. Geen wonder dat systemen hierdoor complex, onoverzichtelijk en bovenal heel ongebruiksvriendelijk zijn geworden. Toezichthouders willen steeds meer weten en dus steeds meer informatie ophalen. Bestuurders kunnen steeds harder afgerekend worden dus zekerheid over de werking van controls is cruciaal. Zie hier de spagaat.

Hoe mooi zou het zijn als onze systemen de day-to-day business zou ondersteunen? Dat iedereen er profijt van heeft? Hoe zou dat eruit zien? Ongeveer zo:

  1. Ik kan snel opzoeken of we hiermee voldoen aan onze compliance
  2. Ik kan snel taken uitzetten bij collega’s
  3. Als team hebben we inzicht in onze prioriteiten en kunnen we werk van elkaar overnemen
  4. Altijd hebben we real time zicht op de belangrijkste acties
  5. Incidenten kan ik eenvoudig melden en ik word over de voortgang automatisch op de hoogte gehouden
  6. Het goedkeuringsproces wordt automatische bijgehouden
  7. Ik kan putten uit kennis van andere afdelingen

GRC-systemen moeten je helpen om sneller en meer efficient je werk te kunnen doen. Misschien niet leuker, wel makkelijker! De belastingdienst is het ook gelukt, waarom ons niet?

De ‘Wie en Waarom-vraag’ moet dan ook beantwoord worden vanuit de ‘day-to-day’ business. Het gaat niet om volledigheid maar om toegevoegde waarde voor de administrateurs / business. Want dat is het uiteindelijk voor een deel. Net als je financien thuis! Als risk of compliance manager genoegen nemen met minder is best moeilijk maar wel een goede eerste stap. Als je weet hoe het de business helpt kun je in kleine stapjes de reis vervolgen. Beter goed zicht op een klein beetje dan troebel zicht op het totaal!

Hoe laten we dit dan goed aansluiten bij de business?

  • Voor de chauffeur is belangrijk dat er snel incidenten kunnen worden gemeld. De planner heeft het totaal overzicht en in geval van calamiteiten moet het eenvoudig zijn om te escaleren.
  • De afdeling hypotheken moet weten welke risico’s standaard zijn bij aanvragen en snel inzicht in de procedure bij afwijkingen is key. Sommige controls moeten altijd beoordeeld worden en dit moet eenvoudig kunnen.
  • Als sales wil je weten welke contracten op scherp staan. Of de partijen met wie we zaken doen geen risico’s met zich meebrengen en ratio’s niet snel veranderen waardoor betalingsproblemen zich kunnen voordoen.
  • Als afdeling inkoop wil je het toeleveranciersrisico spreiden. Leveranciers mogen niet teveel afhankelijk zijn van jou en bovendien moet je altijd een fallback hebben.
  • De projectleider wil bij de start weten welke wet- en regelgeving van toepassing is en hoe dit de scope beinvloedt. Daarnaast zijn verstoringen van belang zodat er snel over alternatieven nagedacht kan worden.
  • De bestuurder / CEO is in control als het totaal aan afwegingen en keuzes eenduidig wordt gedaan en dit proces ook automatisch wordt vastgelegd. Hiermee kan de CEO zich verantwoorden.

De dashboards binnen het GRC vraagstuk moeten dus veel persoonlijker worden. Consolideren op risk / compliance / kwaliteit / audit is het makkelijkst!


door Een reactie plaatsen

Trends in Risico’s en de kansen die dit biedt

Schermafbeelding 2018-10-15 om 21.41.25Verandering is tegenwoordig nog de enige constante. Digitalisering van bedrijfsvoering is een continue ontwikkeling. Systemen worden steeds meer met elkaar verbonden. Niet alleen binnen organisaties zelf maar ook tussen organisaties. En hoe houd je zicht op de risico’s die dit met zich meebrengt.

Operational controls worden steeds meer geautomatiseerd. Enerzijds door de softwareleveranciers en de garanties / certificaten die ze afgeven. Anderzijds door binnen de GRC software deze controls in hoogfrequentie te laten reviewen.

Toeleveranciers management

Sinds een kleine 10 jaar wordt het merendeel van de software als SAAS (Software as a Service) aangeboden. Cyber security / informatiebeveiliging is een issue voor al je toeleveranciers van deze software. Hoe goed ken je je toeleveranciers? En kun je dezelfde aanpak gebruiken voor je andere leveranciers? De aanpak kan immers vergelijkbaar zijn.

Assetmanagement

Data is een asset. Data heeft tegenwoorden een grotere waarde voor organisaties dan de reguliere assets die op de balans staan. Er zijn uitdagingen op het gebied van transparantie, kwaliteit, juistheid, privacy, wetgeving en maatschappelijke acceptatie. Alle zul je moeten beveiligen. Welke risicoafweging maak je? Doe je dit vanuit dezelfde risk appetite?

Wetgeving als concurrentievoordeel

Wet- en regelgeving loopt achter de actualiteit aan. Zeker in het geval van nieuwe technologien. Het anticiperen hierop kan een kernkwaliteit zijn en ervoor zorgen dat je kunt outperformen ten opzichte van je concurrenten.

Nieuwe technologie biedt kansen. Maar alleen als je heel goed in samenhang de risico’s die erbij horen kunt managen. Dit vraagt een continue afweging tussen deze risico’s, de mate van control en de prestatie waar je voor wilt staan als bedrijf.

Wat een energie als je dit in de vingers hebt. Het is niet voor niks dat de snelst groeiende bedrijven volop investeren in het automatiseren van Governance, Risk en Compliance!