Erik van Marle – Blog over risicomanagement

www.naris.com

Categorie archief: Financiele Sector


door 1 reactie

Hoe krijg je tijd voor Key Risks?

Kansen

Risicomanagement wordt as we speak echt op de proef gesteld. Alle aandacht gaat, volkomen terecht, uit naar het Coronavirus. De wereld om ons heen verandert heel snel, iedere dag nieuwe regels / omstandigheden waarmee we direct mee moeten kunnen omgaan. Onze flexibiliteit is nog nooit zo op de proef gesteld en ik weet ook heel zeker dat dit de maatschappij nog veel gaat brengen. Iedereen ervaart nu verplicht hoe eenvoudig het toch is om thuis te werken, niet voor iedere afspraak in de auto te stappen, de continuiteit van dienstverlening te flexibiliseren, etc. De bijkomende gevolgen zijn helemaal niet slecht….. minder CO2 uitstoot, minder geluidsoverlast, etc. Zou dit de push zijn die wij als wereldbevolking nodig hadden? Interesting!

Bedreigingen

Spannend is ook om te zien hoe goed bedrijven hun risicomanagement op orde hebben. Het Coronavirus is een Extern risico in de definitie van Kaplan. We ervaren hoe lastig de beheersing is omdat de beïnvloedbaarheid van het risico zeer laag is. Toch hadden we het in Europe op een gegeven moment zeker kunnen zien aankomen en ook al kunnen leren van de maatregelen die China had genomen, ondanks dat dit nog maar enkele weken oud was!

Waarom is dit zo weinig gebeurd?

Tijd?

Hebben we in onze organisaties voldoende tijd ingebouwd om de strategische en externe risico’s te managen? Risicobewuste organisaties, High Reliability Organizations, nemen in gevaarlijke situaties een TimeOut. Hebben we daar de tijd voor?

In Control

Er zit veel semantiek in de woorden ‘In Control’, ‘Alles onder controle’, ‘Controle’, ‘In Control Statement’, ‘In Control Framework’, etc. Wellicht moet de definitie zijn dat je ‘In Control’ bent op het moment dat er voldoende tijd over is om de echte risico’s te managen.

Afwijkingen verdienen aandacht!

Waarschijnlijk heeft > 80% van de risicoprofielen in organisaties een operationeel karakter. Het is heel menselijk / natuurlijk om juist daar te kijken waar het om de grote getallen gaat. Deze risico’s gaan namelijk ook vaak door onze belangrijkste processen en dus is het ook gebruikelijk dat er veel aandacht aan besteed wordt. Door audit, door de accountants, door de controller en daarmee door bestuur, management en RvC.

Toch zou ik willen adviseren om er op te vertrouwen dat deze risico’s en processen over het algemeen heel goed gemanaged worden door de organisatie. Het is hun Core Business. Aan de randen van de ‘normaal verdeling’ vinden de interessante afwijkingen plaats. Deze afwijkingen (incidenten), in positieve of negatieve zin, zijn de eerste signalen of er ergens iets stagneert. Durf het lef te hebben om minder tijd te besteden aan de controle op operationele risico’s.

En hebben we tijd voor een risicobewuste organisatie voor alle continue veranderingen en bijbehorende soorten risico’s. Lees:

  • Klimaatverandering
  • Cybersecurity
  • TCFD
  • Toeleveranciers
  • Economische teruggang
  • Veranderende wet- en regelgeving
  • Datalekken
  • Beschikbaarheid van kapitaal
  • etc.
Advertentie


door Een reactie plaatsen

Succesvol GRC-implementeren

Voor wie en waarom….en dan pas hoe en wat!

Voor wie en waarom doen wij (GRC specialisten) het eigenlijk?

De twee belangrijkste vragen die iedere 2e lijn zichzelf zou moeten stellen. Maar ook de ontwikkelaars van GRC systemen. Jarenlang zijn deze systemen ontwikkeld vanuit het gezichtspunt dat we veel informatie willen administreren, voor externe toezichthouders, die voldoet aan alle goverance codes en wetgeving waar de organisaties mee te maken hebben. Geen wonder dat systemen hierdoor complex, onoverzichtelijk en bovenal heel ongebruiksvriendelijk zijn geworden. Toezichthouders willen steeds meer weten en dus steeds meer informatie ophalen. Bestuurders kunnen steeds harder afgerekend worden dus zekerheid over de werking van controls is cruciaal. Zie hier de spagaat.

Hoe mooi zou het zijn als onze systemen de day-to-day business zou ondersteunen? Dat iedereen er profijt van heeft? Hoe zou dat eruit zien? Ongeveer zo:

  1. Ik kan snel opzoeken of we hiermee voldoen aan onze compliance
  2. Ik kan snel taken uitzetten bij collega’s
  3. Als team hebben we inzicht in onze prioriteiten en kunnen we werk van elkaar overnemen
  4. Altijd hebben we real time zicht op de belangrijkste acties
  5. Incidenten kan ik eenvoudig melden en ik word over de voortgang automatisch op de hoogte gehouden
  6. Het goedkeuringsproces wordt automatische bijgehouden
  7. Ik kan putten uit kennis van andere afdelingen

GRC-systemen moeten je helpen om sneller en meer efficient je werk te kunnen doen. Misschien niet leuker, wel makkelijker! De belastingdienst is het ook gelukt, waarom ons niet?

De ‘Wie en Waarom-vraag’ moet dan ook beantwoord worden vanuit de ‘day-to-day’ business. Het gaat niet om volledigheid maar om toegevoegde waarde voor de administrateurs / business. Want dat is het uiteindelijk voor een deel. Net als je financien thuis! Als risk of compliance manager genoegen nemen met minder is best moeilijk maar wel een goede eerste stap. Als je weet hoe het de business helpt kun je in kleine stapjes de reis vervolgen. Beter goed zicht op een klein beetje dan troebel zicht op het totaal!

Hoe laten we dit dan goed aansluiten bij de business?

  • Voor de chauffeur is belangrijk dat er snel incidenten kunnen worden gemeld. De planner heeft het totaal overzicht en in geval van calamiteiten moet het eenvoudig zijn om te escaleren.
  • De afdeling hypotheken moet weten welke risico’s standaard zijn bij aanvragen en snel inzicht in de procedure bij afwijkingen is key. Sommige controls moeten altijd beoordeeld worden en dit moet eenvoudig kunnen.
  • Als sales wil je weten welke contracten op scherp staan. Of de partijen met wie we zaken doen geen risico’s met zich meebrengen en ratio’s niet snel veranderen waardoor betalingsproblemen zich kunnen voordoen.
  • Als afdeling inkoop wil je het toeleveranciersrisico spreiden. Leveranciers mogen niet teveel afhankelijk zijn van jou en bovendien moet je altijd een fallback hebben.
  • De projectleider wil bij de start weten welke wet- en regelgeving van toepassing is en hoe dit de scope beinvloedt. Daarnaast zijn verstoringen van belang zodat er snel over alternatieven nagedacht kan worden.
  • De bestuurder / CEO is in control als het totaal aan afwegingen en keuzes eenduidig wordt gedaan en dit proces ook automatisch wordt vastgelegd. Hiermee kan de CEO zich verantwoorden.

De dashboards binnen het GRC vraagstuk moeten dus veel persoonlijker worden. Consolideren op risk / compliance / kwaliteit / audit is het makkelijkst!


door Een reactie plaatsen

Trends in Risico’s en de kansen die dit biedt

Schermafbeelding 2018-10-15 om 21.41.25Verandering is tegenwoordig nog de enige constante. Digitalisering van bedrijfsvoering is een continue ontwikkeling. Systemen worden steeds meer met elkaar verbonden. Niet alleen binnen organisaties zelf maar ook tussen organisaties. En hoe houd je zicht op de risico’s die dit met zich meebrengt.

Operational controls worden steeds meer geautomatiseerd. Enerzijds door de softwareleveranciers en de garanties / certificaten die ze afgeven. Anderzijds door binnen de GRC software deze controls in hoogfrequentie te laten reviewen.

Toeleveranciers management

Sinds een kleine 10 jaar wordt het merendeel van de software als SAAS (Software as a Service) aangeboden. Cyber security / informatiebeveiliging is een issue voor al je toeleveranciers van deze software. Hoe goed ken je je toeleveranciers? En kun je dezelfde aanpak gebruiken voor je andere leveranciers? De aanpak kan immers vergelijkbaar zijn.

Assetmanagement

Data is een asset. Data heeft tegenwoorden een grotere waarde voor organisaties dan de reguliere assets die op de balans staan. Er zijn uitdagingen op het gebied van transparantie, kwaliteit, juistheid, privacy, wetgeving en maatschappelijke acceptatie. Alle zul je moeten beveiligen. Welke risicoafweging maak je? Doe je dit vanuit dezelfde risk appetite?

Wetgeving als concurrentievoordeel

Wet- en regelgeving loopt achter de actualiteit aan. Zeker in het geval van nieuwe technologien. Het anticiperen hierop kan een kernkwaliteit zijn en ervoor zorgen dat je kunt outperformen ten opzichte van je concurrenten.

Nieuwe technologie biedt kansen. Maar alleen als je heel goed in samenhang de risico’s die erbij horen kunt managen. Dit vraagt een continue afweging tussen deze risico’s, de mate van control en de prestatie waar je voor wilt staan als bedrijf.

Wat een energie als je dit in de vingers hebt. Het is niet voor niks dat de snelst groeiende bedrijven volop investeren in het automatiseren van Governance, Risk en Compliance!

 


door 1 reactie

ING’s mislukte 3-line of Defence model in Witwas schandaal!

Financieel Dagblad Zaterdag 8 september

IMG_20CD16F24B89-1

De 3 afdelingen ‘business’, ‘compliance’ en ‘internal audit’ binnen ING hebben langs elkaar heen gewerkt. Niemand voelt zich verantwoordelijk voor het geheel. ‘Velen waren gezamenlijk verantwoordelijk voor een deel van het verwijtbare gedrag’ geeft het OM aan.

Laat dit nu net het probleem zijn waar de Monitoring Commissie Corporate Governance Code in de laatste update heel veel aandacht aan heeft besteed. De code is tegenwoordig zelfs wettelijk verankerd.

Corporate Governance Code

De Code besteed veel aandacht aan Risicomanagement. Ze geeft daarbij zelfs aan dat ondernemerschap het realiseren van kansen is door op een bewuste wijze risico’s te nemen. Hiervoor is essentieel een adequaat risicobeheersingssysteem. Dit moet onder andere een vooruitblik geven op die risico’s die het voortbestaan van de organisatie in de weg kunnen staan. Expliciet wordt hierbij aangeven dat de auditfunctie hier een steeds belangrijkere rol in gaat spelen. Immers, het bestuur en de raad van commissarissen krijgen door deze functie echt inzicht in de werking van het risicobeheersingssysteem van de organisatie.

3-Lines of Defence

De uitgangspunten van het 3-lines of defence model zijn volgens mij al heel lang erg duidelijk. De ‘business’ (1st line) is eindverantwoordelijk voor de keuzes die ze maken en de risico’s die ze businesswise aangaan. Hier zou bij een organisatie als ING toch geen onduidelijkheid over moeten bestaan?

‘Compliance'(2de line) ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.

‘Internal Audit’ (3de line) voorziet de hoogste leiding van zekerheid over de kwaliteit van sturing en beheersing. Ze is dus niet in directe zin verantwoordelijk voor de kwaliteit van het in control zijn van de organisatie maar wel verantwoordelijk voor de mate waarin ze in staat is om de inconsistenties in de opzet en het bestaan van de control frameworks te analyseren en zichtbaar te maken.

De praktijk is altijd weerbarstig maar heeft vaak wel te maken met ego’s/cultuur. De praktijk leert dat iedere lijn z’n eigen systemen wil en het liefst de Rolls-Royce. Het kost organisaties ontzettend veel tijd om hier keuzes in te maken. Hierdoor verschuift uiteindelijk de aandacht en de urgentie. ‘Business’ voelt zich altijd superieur en dus volgt Compliance en Audit. Het gevolg hiervan is dat de systemen om het risicomanagement en beheerssysteem niet gaan functioneren. Bestuur en management missen het zicht op de kansen en bijbehorende beheersing.

4 Aanbevelingen:

  1. Alle afdelingen zullen moeten werken in hetzelfde systeem!
  2. Het bijhouden van kansen die genomen worden en de beheersing die hierbij past is een verantwoordelijkheid van de ‘business’;
  3. ‘Audit’ en ‘Compliance’ zijn leading in de keuze van de systematiek en het systeem;
  4. ‘Audit’ legt rechtstreeks uit het systeem verantwoording af over de bevindingen en aanbevelingen aan bestuur en raad van commissarissen.

ING

Dit is het ultieme moment voor ING om het juiste risicobewuste gedrag in de organisatie te stimuleren en de cultuur te veranderen. Maak de ‘business’ expliciet verantwoordelijk voor het benoemen en beheersen en dus vastleggen van dit soort risico’s. Bepaald dat ‘Compliance’ en ‘Audit’ bepalen via welk proces en systeem er gewerkt dient te worden. Het heeft geen zin nog meer afvink gedrag te stimuleren door meer compliance officers aan te stellen. Zorg dat de ‘business’ begrijpt wat ze aan het doen zijn en dat het hun verantwoordelijkheid is.

‘Never let a good crisis go to waste’ Winston Churchill


door 1 reactie

Voorkom het einde van de Corporatie

“Momenteel concurreert een koopwoning van € 250.000 rechtstreeks met een sociale huurwoning” hoor ik Ger Hukker deze week op BNR zeggen. Dat klinkt absurd maar na een paar minuten hoofdrekenen moet ik hem bijna gelijk geven. Tenminste als het op maandlasten aankomt. Als dit het nieuwe normaal is geworden, dan kan dit het einde betekenen van de woningcorporatie zoals wij die nu kennen. En, vanuit risicomanagement bezien leidt dat natuurlijk tot de vraag hoe je hier als beslisser op kunt reageren?

Eerst maar even rekenen

De actuele hypotheekrente voor een lening met NHG en een 10 jaar rentevastperiode bedraagt momenteel ca. 2,25%. Voor de eenvoud stellen we de lening gelijk aan de koopsom uit het voorbeeld van Hukker: € 250.000. De maandelijkse annuïteit (rente + aflossing) bedraagt dan bruto € 960. Houden we vervolgens rekening met het eigen-woningforfait van 0,75% (€ 1.875 per jaar) en renteaftrek tegen 40%, dan leidt dit tot een netto maandlast van € 835. De redenering van Hukker blijkt dus toch iets te kort door de bocht. De maximale huurprijs van een sociale huurwoning is immers € 700.

Maar voor een volledige vergelijking moeten we ook rekening houden met de onderhoudskosten en eigenaarslasten en dan blijkt de koopwoning in dit voorbeeld zelfs nog iets meer te kosten. Laten we voor het gemak zeggen: netto € 1.000 per maand. Hier tegenover staat dat in de maandelijkse annuïteit ook een bedrag van € 495 aan aflossing is begrepen. Zo bouwt de eigenaar bewoner in het eerste jaar al direct ruim € 5.900 vermogen op door de (verplichte) aflossing. De moraal van dit verhaal: de feitelijke maandelijkse kosten voor een woning van € 250.000 bedragen €1.000 -/- € 495 (aflossing) = € 505. En dat concurreert wel rechtstreeks met een sociale huurwoning.

De corporatie dicht de fiscale kloof

Voor de corporatiepraktijk is het beter om bovenstaande rekensom te maken voor een woning van € 150.000. Dat is namelijk bij benadering de landelijk gemiddelde WOZ-waarde van een corporatiewoning. We komen dan uit op een netto maandlast incl. onderhoud en eigenaarslasten van iets meer zo’n € 700, waarin begrepen een aflossing van € 300 per maand. Per saldo kost deze woning dus maar € 400 per maand.

Bij een gelijke woningwaarde (=wooncomfort) is een huurwoning dus peperduur. Veel consumenten hebben dat inmiddels ook door. De vraag naar betaalbare koopwoningen is dan ook sterk gestegen: mensen die kunnen kopen doen dat weer massaal. Kun je niet kopen, en dat geldt voor de meeste corporatiehuurders, dan moet je sociaal (?) blijven huren.

Het einde van de woningcorporatie?

Het wrange van deze situatie is dat de hoge -sociale- huren niet zo zeer het gevolg zijn van het tekortschieten van de corporaties maar vooral van bizar overheidsbeleid. Op elke huurwoning van € 150.000 drukt namelijk een jaarlijkse fiscale last (verhuurderheffing) van € 740. Als dezelfde woning door een koper wordt bewoond, slaat deze last abrupt om in een fiscale “subsidie”. De koper heeft dan als gevolg van de hypotheekrenteaftrek namelijk een voordeel van € 900 per jaar. Per woning dicht de corporatie dus een fiscale kloof van € 1.640 per jaar (zie afbeelding)

Schermafbeelding 2016-03-24 om 17.37.54

Zo bezien werkt het huidige fiscale beleid als een sluipmoordenaar voor de woningcorporatie. Zeker nu corporaties, sinds de invoering van de nieuwe Woningwet, in toenemende mate zijn gedwongen tot ‘monocultuur’: Ze moeten zich beperken tot 100% sociale verhuur en zijn terughoudend (geworden) met het toepassen van alternatieve vormen van vastgoedexploitatie. Ook kwetsbare “net-niet-doelgroepen” vinden bij veel corporaties geen gehoor meer. Het mag geen verrassing zijn dat deze monocultuur de kwetsbaarheid van de corporatie flink vergroot. Een risicovol toekomstperspectief met hoge impact en nauwelijks direct te beïnvloeden kan op termijn einde betekenen van de woningcorporatie zoals wij die nu kennen.

Wat te doen?

Laten we ervan uit gaan dat elke beslisser of toezichthouder in de corporatiesector niet lijdzaam wil wachten tot de laatste huurder zijn sleutels komt inleveren. Want natuurlijk zijn er natuurlijk er alternatieve strategische beleidskeuzes mogelijk.

Dergelijke beleidskeuzes kunnen worden gezocht met behulp van scenarioplanning. De corporatie verzamelt zo veel mogelijk van de belangrijkste relevante informatie over de verwachte ontwikkeling van de bevolking, de economie, de sociale structuren etc. Een bekende methode is de DESTEP-methode en het is van groot belang dat deze externe factoren zo veel mogelijk worden vertaald naar het eigen lokale niveau. De verwachte bevolkingsontwikkeling in Parkstad Limburg zal immers sterk afwijken van de Metropoolregio Amsterdam.

Scenario’s, en dan?

De externe ontwikkelingen worden vervolgens geconfronteerd worden met het producten en dienstenaanbod van de corporatie. Verwachten we blijvend lage rente en blijven koopwoningen relatief goedkoop ten opzichte van huur met als resultaat dat huurwoningen zichzelf uit de markt prijzen? De legitimatie van de sociale huurwoning komt dan in het geding. Als reactie hier op kan er voor gekozen worden om een deel van de woningen te verkopen. Of is een andere aanpak mogelijk, bijvoorbeeld het verlagen van de huren in grote delen van de woningvoorraad. Een langdurig lage rente levert de corporatie immers veel ruimte in de exploitatie op.

Schermafbeelding 2016-03-24 om 17.39.40

 Scenarioplanning als onderdeel van risicomanagement

De corporatie die van mening is dat zowel haar legitimatie als haar toekomst in gevaar is wacht niet lijdzaam af. Nietsdoen kan immers op termijn grote risico’s met zich meebrengen. Door weloverwogen en met respect voor de eigen (on)mogelijkheden de verschillende externe risico’s te vertalen naar concrete beleidskeuzes kan ook op langere termijn ‘het verschil worden gemaakt’. Scenarioplanning is daarbij niet ‘een kunstje’  van de beleidsafdeling maar maakt een wezenlijk onderdeel uit van het van het (strategisch) risicomanagement van de corporatie.

Erik van Marle en Rein Bakker, Nederlands Adviesbureau Risicomanagement


door Een reactie plaatsen

Het verschil in risicomanagement bij een private en publieke organisatie!

publiek privaat

Regelmatig wordt deze vraag gesteld en iedere keer wordt er weer gegraven in mijn gestolde kennis (ervaring). Een paar overwegingen die ik met jullie wil delen zonder daar overigens nu al volledig in te willen zijn.

Publieke organisaties zijn veel meer gewend om (risico) verantwoording af te leggen over hun reilen en zeilen dan private organisaties. Waar private organisaties dit pas zijn gaan doen na de invoering van de Code Tabaksblat zit dit van oudsher al veel meer in het natuur van de publieke organisaties. Deze laatsten hebben altijd moeten functioneren met belangrijke stakeholders als gemeenten, zorgpartijen, woningcorporaties die allemaal in hetzelfde speelveld een rol hebben. In deze consternatie is verantwoording een vanzelfsprekendheid. Voor private partijen bleek de code Tabaksblat een struggle. ‘Pas toe of leg uit’ werd in het begin op verschillende wijze uitgelegd.

Private organisaties hebben de laatste jaren een flinke inhaalslag gemaakt. Daar waar veel publieke organisaties blijven hangen in de klassieke risicoparagraaf leggen private organisaties veel sterker de link tussen de performance en de daarbij behorende risico’s. In hun zogenaamde ‘sustainability reports’ gaat het erover hoe duurzaam hun strategie is en welke keuzen ze hierin gemaakt hebben. Qua risicomanagement gaat hun uitleg over hoe ze het hebben georganiseerd. Vanzelfsprekend gaan ze niet in op de risico’s en kansen die ze zien, dit is immers concurrentiegevoelige informatie. Publieke organisaties hebben ook te maken met deze gevoelige informatie maar voelen zich wel vaak verplicht deze risico’s te benoemen. Wat mij betreft niet noodzakelijk. Als stakeholder zou ik liever lezen hoe ze er voor zorgen dat de organisatie te allen tijde alert blijft!

Fraude (Imtech bijvoorbeeld) buiten beschouwing gelaten valt mij ook op dat in private organisaties risico’s veel sneller op tafel komen. Uit de vele gesprekken die ik hierover voer valt mij op dat dit hoofdzakelijk komt doordat risico’s veel sneller voor de betrokkenen relevant worden. Ze voelen veel sneller zelf de gevolgen doordat het rechtstreeks invloed heeft op resultaten. Dit in tegenstelling bij publieke organisaties. De gevolgen van risico’s worden minder persoonlijk gevoeld en doordat publieke organisaties vaak met meerjarige begrotingen werken vallen de (financiële)gevolgen vaak weg in het totaal.

Deze laatste hobbel is de grootste uitdaging. We raken hier immer de cultuur van de organisatie. Het management van een publieke organisatie zal dus veel meer moeite moeten doen om risico’s positief bespreekbaar te krijgen. De juiste vragen stellen is cruciaal.

Welke vragen stelt u?


door 3 reacties

Nooit meer strategiepijn!

Wat ga je doen als de strategieconsultant geweest is? Het koersplan is geschreven, doelstellingen zijn bepaald, waar wat dan. Wat vaak vergeten wordt, is de strategie concreet maken. Maak het operationeel voor de werkvloer, zodat de hele organisatie in de richting komt van waar de organisatie naartoe wil.

Dia1

Centraal in de taak van het management staat strategie(realisatie). De strategiekaart vormt de ontbrekende schakel tussen de formulering en uitvoering van strategie. Met de strategiekaart wordt risicomanagement voor bestuurders ook interessant. De strategiekaart vormt de basis voor de interne agenda en vraagt frequente aandacht van het management.

Door de dialoog over risico`s en prestaties gaande te houden wordt risicomanagement het proactieve en anticiperende stuurinstrument waar het voor bedoeld is. Het is een katalysator voor actiegerichtheid op de continue uitdagingen.

Veel gehoorde reactie van MT`s is dat het construeren van de strategiekaart net zo waardevol is als de kaart zelf. Maar het proces is niet eenvoudig. Het construeren zorgt voor discipline en logica in de strategische besluitvorming dat daarvoor veelal niet aanwezig was. Het eindresultaat is een basis voor interne en externe communicatie over doelstellingen en strategie. MT`s kunnen met de strategiekaart goed uitleggen waarom bepaalde zaken wel en andere niet worden ondernomen. Daar draait het om bij strategie, keuzes maken in de belangrijkste activiteiten die goed te onderbouwen zijn.

Strategie gaat om het selecteren van de activiteiten waarin de organisatie dient uit te blinken. De zogenaamde kritieke succesfactoren. Centraal bij het benoemen van kritieke succesfactoren (KSF) staat gegranuleerdheid. Dat betekent verder gaan dan algemeenheden als `onze medewerkers ontwikkelen` of `onze kernwaarden naleven` en focussen op de specifieke mogelijkheden en kenmerken die essentieel zijn voor het succes van de organisatie.

Vanuit de organisatie / de afdelingen dienen initiatieven te worden benoemd welke ondernomen worden om invulling te geven aan de KSF. Deze initiatieven leiden tot resultaten. Dat betekent dat uitvoering van strategie wordt gemanaged door de uitvoering van initiatieven.

De strategiekaart biedt het visuele kader om de doelstellingen van een organisatie in te integreren.

Meer over ‘nooit meer strategiepijn’ is te lezen in dit mooie boek!


door Een reactie plaatsen

Waar zit de dynamiek van Risicomanagement?

Hoe voorkom je:

  • dat de bestuurder risicomanagement saai vindt?
  • dat de toezichthouder te inhoudelijk mee kijkt naar alle risico’s?
  • dat er op het laatste moment nog even het lijstje met risico’s door een MT lid wordt aangevuld?
  • dat risicomanagement alleen bij de controller/manager financien ligt?
  • etc.

Het antwoord:

Management van verwachtingen!

De dynamiek van een goed risicoprofiel zit in de beheersing van de risico’s. Hoe goed kun je laten zien als organisatie dat de beheersmaatregelen die je afspreekt ook daadwerkelijk z’n vruchten afwerpt? Het ultieme resultaat is er wanneer de organisatie haar ambities / doelstellingen weet te realiseren. Immers, ondernemen gaat met risico’s. Als je het resultaat behaald wat je voor ogen had heb je de bijbehorende risico’s goed weten te managen. ‘An every day job’.

Dia1Dit betekent dat de link met de strategie cruciaal is voor de communicatie over risico’s. Liefst visueel gemaakt door bijvoorbeeld een strategiekaart zoals hiernaast staat afgebeeld.

In 1 oogopslag wordt duidelijk dat de doelen gerealiseerd kunnen worden door de onderliggende cruciale activiteiten subliem uit te voeren. Dat hier risico’s bijhoren is logisch.

Onder normale omstandigheden vinden er slechts kleine aanpassingen gedurende een jaar plaats aan de strategie. En daarmee veranderen de risico’s ook slechts beperkt. De meeste verandering gaat zitten in de acties die genomen worden om de beheersmaatregelen adequaat en effectief uit te voeren.

Het goede gevoel:

  • De toezichthouder ziet hoe de organisatie zichzelf continue verbeterd door de beheersing te verbeteren om zo de strategie te kunnen realiseren;
  • De bestuurder gaat risicomanagement leuk vinden omdat het rechtstreeks gekoppeld is aan de ambities van de organisatie / hemzelf;
  • Het MT lid moet continue pro-actief bij de les zijn anders draagt hij niet bij aan de prestaties van de organisatie. Dit wordt heel snel duidelijk als de kaart maandelijks op tafel ligt!;
  • De controller hoeft alleen het net maar op te halen en de dialoog is een feit;
  • Etc.

Prestaties en risico’s gaan hand in hand


door Een reactie plaatsen

Ontspannen toezichthouders krijgen scherpe bestuurders

We gaan hier niet het antwoord geven op wanneer u een goede toezichthouder bent. Dat weet ik gewoonweg niet. Ik zie echter wel veel toezichthouders voorbij komen en deel hier de ervaringen.

comfortzoneEen rode draad die mij opvalt is de mate van ontspannenheid. En dan niet alleen wanneer het goed gaat maar ook wanneer het niet goed gaat. Weten wanneer je voor de bestuurder staat en wanneer er achter.

Ontspannen toezichthouders:

Stellen betere vragen, kennen ieder moment hun rol, helpen maar nemen niet over, zijn bereikbaar voor iedereen, zorgen voor een goede sfeer, houden van ondernemen en dus van risico’s, houden ook van verantwoording maar niet van bureaucratie, houden van een zelfverzekerde kwetsbare bestuurder, zien toezicht als 24/7/365 per jaar, durven zelf ook!, houden van alternatieven, hebben waardering voor gevoel, spreken zich uit, etc.

Een bestuurder met een ontspannen toezichthouder hoeft niet op scherp te worden gezet, dat staat hij continue!

 

Wat doet een toezichthouder die niet ontspannen is?


door Een reactie plaatsen

Uiteindelijk draait risicomanagement om WAARDE

Wij zijn er met z’n allen goed in om alles in cijfers uit te drukken. Projecten worden het liefst gemeten iKlunenn TIJD/GELD EN KWALITEIT.

En weer verlaat een tevreden klant het pand…

(Herman Finkers)

Maar zo kan het voorkomen dat een project keurig binnen de afgesproken kaders blijft maar bij oplevering geen waarde meer heeft. Dit speelt veelal bij langlopende projecten. Maar ik voorspel dat dit steeds meer gaat gebeuren. Immers, de context waarin we opereren verandert steeds sneller en innovaties volgens elkaar steeds sneller op.

Waardesturing

De reden die ik zie dat men de waarde uit het oog verliest is dat er alleen maar binnen het project naar de risico’s en kansen wordt gekeken. Ik zie veel te weinig analyses waarbij ook de vooraf bedachte waarde die het project zou moeten opleveren wordt gemonitord. Doet men dit wel dan kan men pas echt sturen en zou ook veel vaker de vraag voorliggen of men moet versnellen, vertragen of zelfs stoppen. Beter ten halve gekeerd dan ten hele gedwaald!

De grote risico’s zitten dus in de aansluiting van het project op de omgeving. Risicomanagement analyses moeten derhalve altijd risk versus return aspecten in zich hebben. Deze return zit in de eerste plaats op het niveau of er nog wel waarde wordt gecreëerd. En natuurlijk is ook ieder individueel risico een afweging maar mijns inziens echt van een andere orde.

Dit gezegd hebbende; wellicht zijn scopewijzigingen helemaal zo slecht nog niet!