Erik van Marle – Blog over risicomanagement

www.naris.com


Een reactie plaatsen

Succesvol GRC-implementeren

Voor wie en waarom….en dan pas hoe en wat!

Voor wie en waarom doen wij (GRC specialisten) het eigenlijk?

De twee belangrijkste vragen die iedere 2e lijn zichzelf zou moeten stellen. Maar ook de ontwikkelaars van GRC systemen. Jarenlang zijn deze systemen ontwikkeld vanuit het gezichtspunt dat we veel informatie willen administreren, voor externe toezichthouders, die voldoet aan alle goverance codes en wetgeving waar de organisaties mee te maken hebben. Geen wonder dat systemen hierdoor complex, onoverzichtelijk en bovenal heel ongebruiksvriendelijk zijn geworden. Toezichthouders willen steeds meer weten en dus steeds meer informatie ophalen. Bestuurders kunnen steeds harder afgerekend worden dus zekerheid over de werking van controls is cruciaal. Zie hier de spagaat.

Hoe mooi zou het zijn als onze systemen de day-to-day business zou ondersteunen? Dat iedereen er profijt van heeft? Hoe zou dat eruit zien? Ongeveer zo:

  1. Ik kan snel opzoeken of we hiermee voldoen aan onze compliance
  2. Ik kan snel taken uitzetten bij collega’s
  3. Als team hebben we inzicht in onze prioriteiten en kunnen we werk van elkaar overnemen
  4. Altijd hebben we real time zicht op de belangrijkste acties
  5. Incidenten kan ik eenvoudig melden en ik word over de voortgang automatisch op de hoogte gehouden
  6. Het goedkeuringsproces wordt automatische bijgehouden
  7. Ik kan putten uit kennis van andere afdelingen

GRC-systemen moeten je helpen om sneller en meer efficient je werk te kunnen doen. Misschien niet leuker, wel makkelijker! De belastingdienst is het ook gelukt, waarom ons niet?

De ‘Wie en Waarom-vraag’ moet dan ook beantwoord worden vanuit de ‘day-to-day’ business. Het gaat niet om volledigheid maar om toegevoegde waarde voor de administrateurs / business. Want dat is het uiteindelijk voor een deel. Net als je financien thuis! Als risk of compliance manager genoegen nemen met minder is best moeilijk maar wel een goede eerste stap. Als je weet hoe het de business helpt kun je in kleine stapjes de reis vervolgen. Beter goed zicht op een klein beetje dan troebel zicht op het totaal!

Hoe laten we dit dan goed aansluiten bij de business?

  • Voor de chauffeur is belangrijk dat er snel incidenten kunnen worden gemeld. De planner heeft het totaal overzicht en in geval van calamiteiten moet het eenvoudig zijn om te escaleren.
  • De afdeling hypotheken moet weten welke risico’s standaard zijn bij aanvragen en snel inzicht in de procedure bij afwijkingen is key. Sommige controls moeten altijd beoordeeld worden en dit moet eenvoudig kunnen.
  • Als sales wil je weten welke contracten op scherp staan. Of de partijen met wie we zaken doen geen risico’s met zich meebrengen en ratio’s niet snel veranderen waardoor betalingsproblemen zich kunnen voordoen.
  • Als afdeling inkoop wil je het toeleveranciersrisico spreiden. Leveranciers mogen niet teveel afhankelijk zijn van jou en bovendien moet je altijd een fallback hebben.
  • De projectleider wil bij de start weten welke wet- en regelgeving van toepassing is en hoe dit de scope beinvloedt. Daarnaast zijn verstoringen van belang zodat er snel over alternatieven nagedacht kan worden.
  • De bestuurder / CEO is in control als het totaal aan afwegingen en keuzes eenduidig wordt gedaan en dit proces ook automatisch wordt vastgelegd. Hiermee kan de CEO zich verantwoorden.

De dashboards binnen het GRC vraagstuk moeten dus veel persoonlijker worden. Consolideren op risk / compliance / kwaliteit / audit is het makkelijkst!

Advertenties


Een reactie plaatsen

Trends in Risico’s en de kansen die dit biedt

Schermafbeelding 2018-10-15 om 21.41.25Verandering is tegenwoordig nog de enige constante. Digitalisering van bedrijfsvoering is een continue ontwikkeling. Systemen worden steeds meer met elkaar verbonden. Niet alleen binnen organisaties zelf maar ook tussen organisaties. En hoe houd je zicht op de risico’s die dit met zich meebrengt.

Operational controls worden steeds meer geautomatiseerd. Enerzijds door de softwareleveranciers en de garanties / certificaten die ze afgeven. Anderzijds door binnen de GRC software deze controls in hoogfrequentie te laten reviewen.

Toeleveranciers management

Sinds een kleine 10 jaar wordt het merendeel van de software als SAAS (Software as a Service) aangeboden. Cyber security / informatiebeveiliging is een issue voor al je toeleveranciers van deze software. Hoe goed ken je je toeleveranciers? En kun je dezelfde aanpak gebruiken voor je andere leveranciers? De aanpak kan immers vergelijkbaar zijn.

Assetmanagement

Data is een asset. Data heeft tegenwoorden een grotere waarde voor organisaties dan de reguliere assets die op de balans staan. Er zijn uitdagingen op het gebied van transparantie, kwaliteit, juistheid, privacy, wetgeving en maatschappelijke acceptatie. Alle zul je moeten beveiligen. Welke risicoafweging maak je? Doe je dit vanuit dezelfde risk appetite?

Wetgeving als concurrentievoordeel

Wet- en regelgeving loopt achter de actualiteit aan. Zeker in het geval van nieuwe technologien. Het anticiperen hierop kan een kernkwaliteit zijn en ervoor zorgen dat je kunt outperformen ten opzichte van je concurrenten.

Nieuwe technologie biedt kansen. Maar alleen als je heel goed in samenhang de risico’s die erbij horen kunt managen. Dit vraagt een continue afweging tussen deze risico’s, de mate van control en de prestatie waar je voor wilt staan als bedrijf.

Wat een energie als je dit in de vingers hebt. Het is niet voor niks dat de snelst groeiende bedrijven volop investeren in het automatiseren van Governance, Risk en Compliance!

 


2 reacties

Hoe Risicomanagement bij Van Oord bijdraagt aan betere prestaties

Cyrille Wismans, Risicomanager bij Van Oord, legt uit hoe risicomanagement is opgezet bij Van Oord Hier zijn ze twee jaar geleden structureel mee begonnen. Vijf jaar geleden begon hij als Risk Engineer bij Van Oord, waar hij nu teamleider is bij de Project Planning & Riskafdeling. 

Complexere Projecten vragen om beter Risicomanagement

Risicomanagement is op dit moment binnen Van Oord gepositioneerd in de afdeling Engineering & Estimating.  Vanuit deze afdelingworden alle area’s en business units bediend. De aanleiding om risicomanagement prioriteit te geven komt doordat het bedrijf steeds meer complexe, innovatieve projecten aanneemt van grote omvang en met een lange doorlooptijd. Complexe projecten vormen een substantieel deel van de business van Van Oord, risicomanagement is dus van groot belang.

Belang van Risicomanagement

Van Oord heeft haar werkgebied (de gehele wereld) ingedeeld in 5 area’s  en een drietal business units. Bij de business unit Offshore gaat het vooral om grote projecten in de offshore olie- en gasindustrie. Onder andere de aanleg, het vervangen van en het onderhoud aan onderwaterpijpleidingen. In deze industrie staan vanwege de lage olieprijs de prijzen momenteel enorm onder druk. Hierdoor is het belang van risicomanagement flink toegenomen. Ook  in de offshore windindustrie is Van Oord actief. Een industrie waar risicomanagement een grote rol speelt. Van Oord voert hier grote projecten uit, waar veel verantwoordelijkheid mee gemoeid is. Ze staat garant voor het hele ontwerp, de levering, de inkoop en bouw van windmolenparken. Hierdoor trekt het bedrijf veel risico’s naar zich toe.

Lange adem

Zoals eerder genoemd is structureel risicomanagement relatief nieuw bij Van Oord. Om een succesvolle implementatie te bewerkstelligen is het volgens Wismans essentieel om verder te bouwen op de al bestaande werkwijzen in het bedrijf. Daarnaast dient men zich te realiseren dat de implementatie van risicomanagement  een proces is van de lange adem.

Betrokkenheid van de Board cruciaal

Wanneer er gekeken wordt naar het proces zoals dat door Van Oord wordt gehanteerd in relatie tot risicomanagement, dan legt Wismans uit dat de Board acht key focus areas in Van Oord heeft aangewezen. Hiervan is risicomanagement er één. In het proces van het binnenhalen van een project tot aan de uitvoering, heeft Van Oord een aantal quality gates (stage gates)  ingebouwd. Het risicomanagement proces sluit hierop aan en vormt een belangrijk onderdeel van het besluitvormingstraject. Bij iedere stage gate wordt gebruik gemaakt van risicoinformatie die uit de risicomanagement cyclus komt. Bij stage gate 1 wordt bijvoorbeeld besloten of Van Oord wel of niet zal  tenderen. Hier ligt een commerciële en strategische afweging aan ten grondslag, maar ook het risicoprofiel van een werk wordt in deze afweging meegenomen.

Risk en Opportunity Database

Van Oord heeft een risk and opportunity identification list ontwikkeld. Hierin zitten ongeveer 150 risico’s verdeeld over twaalf risicogebieden waar het bedrijf in veel van haar projecten mee te maken heeft. Voorbeelden zijn: Political and Economical, Physical Conditions, Environmental Impact, Procurement and Subcontracting, Safety & Health and Security, Contractual and Legal. Het proces begint bij de risico identificatie. In een omgeving waar veel technische mensen werken, die de neiging hebben snel van probleem naar oplossing te gaan, is de toegevoegde waarde van risicomanagement het verzamelen van alle input en het daarin aanbrengen van de noodzakelijke structuur.

Lessons learnt

Om meer inzicht te krijgen in de aard en omvang van risico’s is niet alleen de lijst met de twaalf risicogebieden  belangrijk, maar ook de lessons learnt. In de eindewerkrapporten ligt een enorme schat aan informatie, ook over de opgetreden risico’s. Daarnaast zijn er gesprekken met projectleiders die kennis hebben van een bepaald gebied essentieel.

Iedereen aan tafel!

Wismans legt uit hoe hij de analyses begeleidt: “We zitten met begroters en werkvoorbereiders om tafel, analyseren de risico’s en zoeken voortdurend naar optimalisatie. Als je scherp gaat wil je uiteraard ook weten waar je aan toe bent. Tenders met een waarde van meer dan vijftig miljoen euro moeten sowieso langs onze Board. Een van de elementen die daar op tafel komt te liggen is risicomanagement en de noodzakelijke reserveringen. Als de Board kritische vragen stelt, zit de Risico Engineer veelal aan tafel om toelichting te geven”. Volgens Wismans is Van Oord met het risicomanagement op de goede weg, maar er valt nog meer winst te behalen. Deze zit met name in de betrokkenheid tijdens de uitvoering van projecten. Een stijgende lijn is al wel te zien.

Automatisering voor borging en eenvoud

schermafbeelding-2017-01-12-om-23-13-29

Daarnaast wordt er  gewerkt aan automatisering. Wismans vertelt dat Van Oord momenteel samenwerkt met Naris. Het bedrijf heeft een eigen kennisdatabase ontwikkeld, gebaseerd op NARIS GRC, maar met een Van Oord look and feel. Voor elk project worden daar de risico’s in gehangen en de projecten worden weer onverdeeld in area’s of typen projecten. Wanneer er een redelijk aantal projecten in is opgeslagen, kun je binnen area’s of op typen projecten een statistische analyse doen.

Een systeem zoals Van Oord nu heeft, een soort op maat gemaakte NARIS GRC, zorgt ervoor dat mensen meer gestimuleerd en gedwongen worden om over risico’s na te denken, deze systematisch te identificeren en te structureren.  Middelen als de risk and opportunity identification list, geven structuur en houvast. En bovendien een beter begrip van de risico’s. 

Gouden tips:

  • Mensen/managers moeten risicomanagement echt willen adopteren, wil het werken
  • Een risicomanager moet pro-actief zijn, hij moet veel uitleggen en sturen, meer brengen dan halen en zichzelf kunnen verkopen
  • Zorg voor realistische doelstellingen en verwachtingen
  • De risicomanager moet een duidelijk zichtbare plaats in de organisatie hebben

 


Een reactie plaatsen

Het verschil in risicomanagement bij een private en publieke organisatie!

publiek privaat

Regelmatig wordt deze vraag gesteld en iedere keer wordt er weer gegraven in mijn gestolde kennis (ervaring). Een paar overwegingen die ik met jullie wil delen zonder daar overigens nu al volledig in te willen zijn.

Publieke organisaties zijn veel meer gewend om (risico) verantwoording af te leggen over hun reilen en zeilen dan private organisaties. Waar private organisaties dit pas zijn gaan doen na de invoering van de Code Tabaksblat zit dit van oudsher al veel meer in het natuur van de publieke organisaties. Deze laatsten hebben altijd moeten functioneren met belangrijke stakeholders als gemeenten, zorgpartijen, woningcorporaties die allemaal in hetzelfde speelveld een rol hebben. In deze consternatie is verantwoording een vanzelfsprekendheid. Voor private partijen bleek de code Tabaksblat een struggle. ‘Pas toe of leg uit’ werd in het begin op verschillende wijze uitgelegd.

Private organisaties hebben de laatste jaren een flinke inhaalslag gemaakt. Daar waar veel publieke organisaties blijven hangen in de klassieke risicoparagraaf leggen private organisaties veel sterker de link tussen de performance en de daarbij behorende risico’s. In hun zogenaamde ‘sustainability reports’ gaat het erover hoe duurzaam hun strategie is en welke keuzen ze hierin gemaakt hebben. Qua risicomanagement gaat hun uitleg over hoe ze het hebben georganiseerd. Vanzelfsprekend gaan ze niet in op de risico’s en kansen die ze zien, dit is immers concurrentiegevoelige informatie. Publieke organisaties hebben ook te maken met deze gevoelige informatie maar voelen zich wel vaak verplicht deze risico’s te benoemen. Wat mij betreft niet noodzakelijk. Als stakeholder zou ik liever lezen hoe ze er voor zorgen dat de organisatie te allen tijde alert blijft!

Fraude (Imtech bijvoorbeeld) buiten beschouwing gelaten valt mij ook op dat in private organisaties risico’s veel sneller op tafel komen. Uit de vele gesprekken die ik hierover voer valt mij op dat dit hoofdzakelijk komt doordat risico’s veel sneller voor de betrokkenen relevant worden. Ze voelen veel sneller zelf de gevolgen doordat het rechtstreeks invloed heeft op resultaten. Dit in tegenstelling bij publieke organisaties. De gevolgen van risico’s worden minder persoonlijk gevoeld en doordat publieke organisaties vaak met meerjarige begrotingen werken vallen de (financiële)gevolgen vaak weg in het totaal.

Deze laatste hobbel is de grootste uitdaging. We raken hier immer de cultuur van de organisatie. Het management van een publieke organisatie zal dus veel meer moeite moeten doen om risico’s positief bespreekbaar te krijgen. De juiste vragen stellen is cruciaal.

Welke vragen stelt u?


3 reacties

Nooit meer strategiepijn!

Wat ga je doen als de strategieconsultant geweest is? Het koersplan is geschreven, doelstellingen zijn bepaald, waar wat dan. Wat vaak vergeten wordt, is de strategie concreet maken. Maak het operationeel voor de werkvloer, zodat de hele organisatie in de richting komt van waar de organisatie naartoe wil.

Dia1

Centraal in de taak van het management staat strategie(realisatie). De strategiekaart vormt de ontbrekende schakel tussen de formulering en uitvoering van strategie. Met de strategiekaart wordt risicomanagement voor bestuurders ook interessant. De strategiekaart vormt de basis voor de interne agenda en vraagt frequente aandacht van het management.

Door de dialoog over risico`s en prestaties gaande te houden wordt risicomanagement het proactieve en anticiperende stuurinstrument waar het voor bedoeld is. Het is een katalysator voor actiegerichtheid op de continue uitdagingen.

Veel gehoorde reactie van MT`s is dat het construeren van de strategiekaart net zo waardevol is als de kaart zelf. Maar het proces is niet eenvoudig. Het construeren zorgt voor discipline en logica in de strategische besluitvorming dat daarvoor veelal niet aanwezig was. Het eindresultaat is een basis voor interne en externe communicatie over doelstellingen en strategie. MT`s kunnen met de strategiekaart goed uitleggen waarom bepaalde zaken wel en andere niet worden ondernomen. Daar draait het om bij strategie, keuzes maken in de belangrijkste activiteiten die goed te onderbouwen zijn.

Strategie gaat om het selecteren van de activiteiten waarin de organisatie dient uit te blinken. De zogenaamde kritieke succesfactoren. Centraal bij het benoemen van kritieke succesfactoren (KSF) staat gegranuleerdheid. Dat betekent verder gaan dan algemeenheden als `onze medewerkers ontwikkelen` of `onze kernwaarden naleven` en focussen op de specifieke mogelijkheden en kenmerken die essentieel zijn voor het succes van de organisatie.

Vanuit de organisatie / de afdelingen dienen initiatieven te worden benoemd welke ondernomen worden om invulling te geven aan de KSF. Deze initiatieven leiden tot resultaten. Dat betekent dat uitvoering van strategie wordt gemanaged door de uitvoering van initiatieven.

De strategiekaart biedt het visuele kader om de doelstellingen van een organisatie in te integreren.

Meer over ‘nooit meer strategiepijn’ is te lezen in dit mooie boek!


1 reactie

5 tips voor risico’s in combinatie met contractmanagement!

Veel risico’s worden beheerst door afspraken die vervolgens vastgelegd worden in een contract. De grote vraag is wat er daarna gebeurd.

De praktijk wijst uit dat er het gevoel overheerst dat het nu geregeld is. Het onderhoud zal gedaan worden, de planning zal worden gehaald, alle partijen zullen doen wat er is overeenkomen. Het contract kan worden opgeborgen.

De link tussen risico’s en contracten is bijna 1 op 1. Toch wordt deze bijna nooit gelegd en niet bijgehouden. Ik heb wel eerder geschreven dat de dynamiek van een goed risicoprofiel zit in de mate waarin de beheersing wordt opgepakt.

5 tips:

  1. Neem de risico’s als uitgangspunt voor het opstellen van het contract;
  2. Vertaal de risico’s naar de te verwachten prestaties van de contractpartijen;
  3. Koppel budget en tijdlijn afspraken aan de prestaties;
  4. Zorg voor automatische rappellen naar alle betrokken contractpartijen;
  5. Maak de risicoeigenaar verantwoordelijk voor het aanspreken van de partijen.

Een overzicht als onderstaand moet toch eenvoudig te maken zijn:

contractencontract tijdlijn