Erik van Marle – Blog over risicomanagement

www.naris.com


Een reactie plaatsen

Succesvol GRC-implementeren

Voor wie en waarom….en dan pas hoe en wat!

Voor wie en waarom doen wij (GRC specialisten) het eigenlijk?

De twee belangrijkste vragen die iedere 2e lijn zichzelf zou moeten stellen. Maar ook de ontwikkelaars van GRC systemen. Jarenlang zijn deze systemen ontwikkeld vanuit het gezichtspunt dat we veel informatie willen administreren, voor externe toezichthouders, die voldoet aan alle goverance codes en wetgeving waar de organisaties mee te maken hebben. Geen wonder dat systemen hierdoor complex, onoverzichtelijk en bovenal heel ongebruiksvriendelijk zijn geworden. Toezichthouders willen steeds meer weten en dus steeds meer informatie ophalen. Bestuurders kunnen steeds harder afgerekend worden dus zekerheid over de werking van controls is cruciaal. Zie hier de spagaat.

Hoe mooi zou het zijn als onze systemen de day-to-day business zou ondersteunen? Dat iedereen er profijt van heeft? Hoe zou dat eruit zien? Ongeveer zo:

  1. Ik kan snel opzoeken of we hiermee voldoen aan onze compliance
  2. Ik kan snel taken uitzetten bij collega’s
  3. Als team hebben we inzicht in onze prioriteiten en kunnen we werk van elkaar overnemen
  4. Altijd hebben we real time zicht op de belangrijkste acties
  5. Incidenten kan ik eenvoudig melden en ik word over de voortgang automatisch op de hoogte gehouden
  6. Het goedkeuringsproces wordt automatische bijgehouden
  7. Ik kan putten uit kennis van andere afdelingen

GRC-systemen moeten je helpen om sneller en meer efficient je werk te kunnen doen. Misschien niet leuker, wel makkelijker! De belastingdienst is het ook gelukt, waarom ons niet?

De ‘Wie en Waarom-vraag’ moet dan ook beantwoord worden vanuit de ‘day-to-day’ business. Het gaat niet om volledigheid maar om toegevoegde waarde voor de administrateurs / business. Want dat is het uiteindelijk voor een deel. Net als je financien thuis! Als risk of compliance manager genoegen nemen met minder is best moeilijk maar wel een goede eerste stap. Als je weet hoe het de business helpt kun je in kleine stapjes de reis vervolgen. Beter goed zicht op een klein beetje dan troebel zicht op het totaal!

Hoe laten we dit dan goed aansluiten bij de business?

  • Voor de chauffeur is belangrijk dat er snel incidenten kunnen worden gemeld. De planner heeft het totaal overzicht en in geval van calamiteiten moet het eenvoudig zijn om te escaleren.
  • De afdeling hypotheken moet weten welke risico’s standaard zijn bij aanvragen en snel inzicht in de procedure bij afwijkingen is key. Sommige controls moeten altijd beoordeeld worden en dit moet eenvoudig kunnen.
  • Als sales wil je weten welke contracten op scherp staan. Of de partijen met wie we zaken doen geen risico’s met zich meebrengen en ratio’s niet snel veranderen waardoor betalingsproblemen zich kunnen voordoen.
  • Als afdeling inkoop wil je het toeleveranciersrisico spreiden. Leveranciers mogen niet teveel afhankelijk zijn van jou en bovendien moet je altijd een fallback hebben.
  • De projectleider wil bij de start weten welke wet- en regelgeving van toepassing is en hoe dit de scope beinvloedt. Daarnaast zijn verstoringen van belang zodat er snel over alternatieven nagedacht kan worden.
  • De bestuurder / CEO is in control als het totaal aan afwegingen en keuzes eenduidig wordt gedaan en dit proces ook automatisch wordt vastgelegd. Hiermee kan de CEO zich verantwoorden.

De dashboards binnen het GRC vraagstuk moeten dus veel persoonlijker worden. Consolideren op risk / compliance / kwaliteit / audit is het makkelijkst!

Advertenties


Een reactie plaatsen

Trends in Risico’s en de kansen die dit biedt

Schermafbeelding 2018-10-15 om 21.41.25Verandering is tegenwoordig nog de enige constante. Digitalisering van bedrijfsvoering is een continue ontwikkeling. Systemen worden steeds meer met elkaar verbonden. Niet alleen binnen organisaties zelf maar ook tussen organisaties. En hoe houd je zicht op de risico’s die dit met zich meebrengt.

Operational controls worden steeds meer geautomatiseerd. Enerzijds door de softwareleveranciers en de garanties / certificaten die ze afgeven. Anderzijds door binnen de GRC software deze controls in hoogfrequentie te laten reviewen.

Toeleveranciers management

Sinds een kleine 10 jaar wordt het merendeel van de software als SAAS (Software as a Service) aangeboden. Cyber security / informatiebeveiliging is een issue voor al je toeleveranciers van deze software. Hoe goed ken je je toeleveranciers? En kun je dezelfde aanpak gebruiken voor je andere leveranciers? De aanpak kan immers vergelijkbaar zijn.

Assetmanagement

Data is een asset. Data heeft tegenwoorden een grotere waarde voor organisaties dan de reguliere assets die op de balans staan. Er zijn uitdagingen op het gebied van transparantie, kwaliteit, juistheid, privacy, wetgeving en maatschappelijke acceptatie. Alle zul je moeten beveiligen. Welke risicoafweging maak je? Doe je dit vanuit dezelfde risk appetite?

Wetgeving als concurrentievoordeel

Wet- en regelgeving loopt achter de actualiteit aan. Zeker in het geval van nieuwe technologien. Het anticiperen hierop kan een kernkwaliteit zijn en ervoor zorgen dat je kunt outperformen ten opzichte van je concurrenten.

Nieuwe technologie biedt kansen. Maar alleen als je heel goed in samenhang de risico’s die erbij horen kunt managen. Dit vraagt een continue afweging tussen deze risico’s, de mate van control en de prestatie waar je voor wilt staan als bedrijf.

Wat een energie als je dit in de vingers hebt. Het is niet voor niks dat de snelst groeiende bedrijven volop investeren in het automatiseren van Governance, Risk en Compliance!

 


1 reactie

ING’s mislukte 3-line of Defence model in Witwas schandaal!

Financieel Dagblad Zaterdag 8 september

IMG_20CD16F24B89-1

De 3 afdelingen ‘business’, ‘compliance’ en ‘internal audit’ binnen ING hebben langs elkaar heen gewerkt. Niemand voelt zich verantwoordelijk voor het geheel. ‘Velen waren gezamenlijk verantwoordelijk voor een deel van het verwijtbare gedrag’ geeft het OM aan.

Laat dit nu net het probleem zijn waar de Monitoring Commissie Corporate Governance Code in de laatste update heel veel aandacht aan heeft besteed. De code is tegenwoordig zelfs wettelijk verankerd.

Corporate Governance Code

De Code besteed veel aandacht aan Risicomanagement. Ze geeft daarbij zelfs aan dat ondernemerschap het realiseren van kansen is door op een bewuste wijze risico’s te nemen. Hiervoor is essentieel een adequaat risicobeheersingssysteem. Dit moet onder andere een vooruitblik geven op die risico’s die het voortbestaan van de organisatie in de weg kunnen staan. Expliciet wordt hierbij aangeven dat de auditfunctie hier een steeds belangrijkere rol in gaat spelen. Immers, het bestuur en de raad van commissarissen krijgen door deze functie echt inzicht in de werking van het risicobeheersingssysteem van de organisatie.

3-Lines of Defence

De uitgangspunten van het 3-lines of defence model zijn volgens mij al heel lang erg duidelijk. De ‘business’ (1st line) is eindverantwoordelijk voor de keuzes die ze maken en de risico’s die ze businesswise aangaan. Hier zou bij een organisatie als ING toch geen onduidelijkheid over moeten bestaan?

‘Compliance'(2de line) ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.

‘Internal Audit’ (3de line) voorziet de hoogste leiding van zekerheid over de kwaliteit van sturing en beheersing. Ze is dus niet in directe zin verantwoordelijk voor de kwaliteit van het in control zijn van de organisatie maar wel verantwoordelijk voor de mate waarin ze in staat is om de inconsistenties in de opzet en het bestaan van de control frameworks te analyseren en zichtbaar te maken.

De praktijk is altijd weerbarstig maar heeft vaak wel te maken met ego’s/cultuur. De praktijk leert dat iedere lijn z’n eigen systemen wil en het liefst de Rolls-Royce. Het kost organisaties ontzettend veel tijd om hier keuzes in te maken. Hierdoor verschuift uiteindelijk de aandacht en de urgentie. ‘Business’ voelt zich altijd superieur en dus volgt Compliance en Audit. Het gevolg hiervan is dat de systemen om het risicomanagement en beheerssysteem niet gaan functioneren. Bestuur en management missen het zicht op de kansen en bijbehorende beheersing.

4 Aanbevelingen:

  1. Alle afdelingen zullen moeten werken in hetzelfde systeem!
  2. Het bijhouden van kansen die genomen worden en de beheersing die hierbij past is een verantwoordelijkheid van de ‘business’;
  3. ‘Audit’ en ‘Compliance’ zijn leading in de keuze van de systematiek en het systeem;
  4. ‘Audit’ legt rechtstreeks uit het systeem verantwoording af over de bevindingen en aanbevelingen aan bestuur en raad van commissarissen.

ING

Dit is het ultieme moment voor ING om het juiste risicobewuste gedrag in de organisatie te stimuleren en de cultuur te veranderen. Maak de ‘business’ expliciet verantwoordelijk voor het benoemen en beheersen en dus vastleggen van dit soort risico’s. Bepaald dat ‘Compliance’ en ‘Audit’ bepalen via welk proces en systeem er gewerkt dient te worden. Het heeft geen zin nog meer afvink gedrag te stimuleren door meer compliance officers aan te stellen. Zorg dat de ‘business’ begrijpt wat ze aan het doen zijn en dat het hun verantwoordelijkheid is.

‘Never let a good crisis go to waste’ Winston Churchill


Een reactie plaatsen

Praktisch Stappenplan Risicomanagement Woningcorporaties

Risicomanagement is niet nieuw! Iedere organisatie doet bewust of onbewust al heel veel aan risicomanagement. Bewust vaak op de financiële processen. Op alle andere processen vaak heel onbewust. Gelukkig maar want dit zijn over het algemeen wel de meest risicovolle processen.

Voordat je begint is het verstandig te bepalen wat je wilt bereiken met Risicomanagement. Wat mij betreft zijn dit maar een paar zaken:
1. Risicobewuste medewerkers;
2. Inzicht in de mate en vooruitgang van beheersing van je belangrijkste risico’s;
3. Inzicht in waar je moet bijsturen om je doelstellingen te realiseren.

De grootste valkuilen zijn:
* Eindeloze excellijsten met alleen maar risico’s;
* Op zoek naar schijnzekerheid door ingewikkelde formule’s en oorzaak-gevolg relaties te willen gebruiken;
* Geen aansluiting bij de medewerkers door iets op te leveren wat ze niet gebruiken in hun dagelijks werk;
* Geen aansluiting bij de vraag van intern en extern toezicht waardoor zaken dubbel gebeuren;
* Geen relatie te hebben met beslissingen die je wilt nemen!

Stap 1
Dit is de moeilijkste. Het volledige MT moet het erover eens zijn dat informatie over Risico’s, de mate van beheersing, het inzicht in Compliance en de bevindingen van Audit gebruikt worden om beslissingen te nemen. Dit betekent dus dat deze informatie mede leidend is en gefaciliteerd wordt om deze informatie op te halen.

Schermafbeelding 2017-12-20 om 21.41.46

Stap 2
Visualiseer je strategie. Met de woningwet van tegenwoordig moeten corporaties in staat zijn een duidelijke (SMART) strategie neer te zetten, gebaseerd op de prestatieafspraken. Je bent succesvol als corporatie op het moment dat je je strategie weet te realiseren. Mooie projecten realiseren die niet bijdragen aan de strategie dragen dus niet bij aan het succesvol zijn.

Maak een Strategiekaart waarin het voor alle medewerkers duidelijk is welke activiteiten je cruciaal vindt voor de corporatie. Hang deze op in de gang, in de kantine zodat er vaak over gesproken kan worden.

Schermafbeelding 2016-09-15 om 08.59.09

Stap 3
Gebruik de Strategiekaart als uitgangspunt van waaruit je de risicoanalyse start. 2-5 risico’s per succesfactor zijn meer dan genoeg om inzicht te krijgen waar de uitdagingen in de organisatie zitten. Doe dit met alle mensen die betrokken zijn bij de processen rondom zo’n succesfactor. Let goed op de kwaliteit van omschrijving, je gezamenlijk inschatting van impact en gebruik altijd voorbeelden ter illustratie. Dit maakt het repliceerbaar en blijft de context beschikbaar.

Benoem een eigenaar die verantwoordelijk blijft voor de opvolging van acties en kwaliteit van het beschreven risico.

Schermafbeelding 2016-11-17 om 18.31.59

Stap 4
Inventariseer wat er allemaal al gedaan wordt aan beheersing en bepaal of dit effectief is. Inventariseer vervolgens wat er meer of beter gedaan kan worden en leg duidelijk vast wat er verwacht wordt. Bepaal ook in welke frequentie dit gecontroleerd moet worden en wie ervoor verantwoordelijk is.

Stap 5
Zorg na iedere sessie dat de deelnemers direct een rapportage ontvangen met daarin het gedane werk en uitstaande acties. Zorg dat dit aansluit bij bestaande werkzaamheden. Kijk ook welke rapportages er nu al zijn en niet gebruikt worden. Deze zijn overbodig.

Optimaal is wanneer je met elkaar in 1 systeem werkt. Dit dwingt een uniforme en standaard taal af waarmee iedereen risico’s op dezelfde wijze beschrijft. Dit inzicht in onbetaalbaar, zowel voor begrip als voor het kunnen nemen van besluiten.

Schermafbeelding 2016-11-17 om 18.33.38

Stap 6
Als Riskmanager werk je samen met de Compliance Officer, de business controller en audit. Je hebt afstemming over de prioriteiten en je bent gezamenlijk de helpdesk voor de organisatie. Monitor de intensiteit van wijzigingen in het profiel, dat zegt echt wat of de organisatie risicobewust is.

Dit is direct hele relevante informatie voor toezichthouders, wiens taak het is om toezicht te houden op het risicomanagement en beheersysteem van de organisatie.

Stap 7
Incidenten zijn een onderschatte bron van informatie over wat er gebeurd in een organisatie. En dan hebben we het niet alleen over veiligheidsincidenten. Iedere verstoring in een normaal proces is een incident. Begin gewoon eenvoudig met het vastleggen hiervan en je zult ervaren dat dit veel inzicht geeft welke zaken vaak misgaan en waar over het algemeen ook snel wat aan gedaan kan worden.

Bij een grote projectgedreven organisatie levert het incidentenoverzicht sneller en meer inzicht op over de status van een project dan de mooie rapportages aan het einde van iedere maand. Het niet beschikbaar zijn van personeel of materieel, het niet rond hebben van de vergunning; allemaal incidenten waaruit je direct kan afleiden of het project wel of niet soepel begint.

Schermafbeelding 2017-12-20 om 22.05.15

Tot slot
Wees je er continue van bewust dat de informatie die je ophaalt uit de organisatie en ter bespreking voorlegt relevant moet zijn. Je doet het niet omdat het moet maar omdat het je helpt. Het heeft daarom ook geen zin om hier regels voor te introduceren. De juiste mensen willen dit omdat het ze tot betere prestaties leidt.

Het juiste management wil dit omdat het ze een fijnere, succesvollere, veiligere organisatie oplevert die doet waarvoor de organisatie bestaat.


5 reacties

Corporate Governance en veilig incidenten melden

Corporate Governance en veilig incidenten melden

Natuurlijk wordt de wereld transparanter en willen we ook ook steeds meer weten van bedrijven. En zolang bedrijven en dus personen INTEGER handelen heeft dit een zeer positieve uitwerking op de uitstraling van de organisatie.

Incident melden

Er is tegenwoordig echter ook een andere vorm van transparantie. De transparantie die de media, de externe toezichthouder, parlementaire enquete, branchvereniging, etc zoekt nadat zich incidenten hebben voorgedaan. Het resultaat van deze laatste vorm van transparantie is een bijna niet te stoppen vallend imago van de betrokken organisaties in het bijzonder en de branche in het algemeen. Denk hierbij aan de bankensector, de woningcorporaties, de tussenpersonen en financiële adviseurs, de bouwsector, etc. De voorbeelden staan iedere week in de krant. Naam en toenaam worden niet geschuwd.

Het grote risico van ‘Naming and Shaming”

Het effect van deze ‘naming and shaming’ heeft een veel grotere impact dan de veroorzakers hiervan zich volgens mij realiseren. Een paar effecten voor de vuist weg:

  • Het imago van het bedrijf is voor vele jaren besmeurd;
  • Huidige stakeholders verliezen vertrouwen;
  • Klanten vertrekken;
  • Enorme juridische kosten;
  • Reorganisatie voor medewerkers;
  • etc.

Maar het grootste risico is dat voor de komende jaren niemand meer iets durft te melden binnen zo’n organisatie!

Alle ervaringen leren ons immers dat mensen dit soort ervaringen nooit meer willen meemaken. Iedere kans om zo’n mediacircus te voorkomen wordt dan toch aangegrepen? En we weten hoe het met de klokkenluiders afloopt…..

Waar is de Raad van Toezicht?

Naar mijn mening is een van de belangrijkste taken van de Raad van Toezicht / Raad van Commissarissen bereikbaar te zijn voor meldingen van incidenten. Zelfs pro-actief hier naar op zoek te gaan. Het is een van de belangrijkste indicatoren om te zien en te voelen of een organisatie zich veilig voelt en continue wil verbeteren.

Aan iedere materiële claim gaan 100 incidenten vooraf!

Ziet u als toezichthouder de belangrijkste 5 oorzaken van de meest voorkomende incidenten in uw organisatie?

De organisatie uit de wind houden!

Door het inzicht te hebben in deze incidenten bent u als toezichthouder in staat om de organisatie op de belangrijke momenten uit de wind te houden. In geval van incidenten staat u voor de bestuurder. Indien het voor de wind gaat staat u achter de bestuurder. Op dit soort moment is de RvC de enige die voor continuïteit van de organisatie kan zorgen. Een van de belangrijkste doelstellingen die een RvC moet hebben?

Governance Code Van Manen

Gelukkig is er in de nieuwe code ingegaan op deze elementen. De RvC is verantwoordelijk voor de goede werking van het Risicomanagement en Beheerssysteem. Daar hoort bij het toetsen van de juiste cultuur die past bij de desbetreffende organisatie. Een onderdeel hiervan is vanzelfsprekend het monitoren van onregelmatigheden / incidenten.

Good Governance, niet in het bijzonder voor je medebestuurders maar voor de belangrijkste stakeholders (medewerkers) van je organisatie!

ps. Incidenten betreffen dus de onregelmatigheden in de breedste zin van het woord. Veiligheid, Arbo, Financiele missers, HR, etc. zijn in deze zin uitwisselbaar.

 


2 reacties

3 stappen om eenvoudig uw Risk Appetite vast te stellen

3 stappen om eenvoudig uw Risk Appetite vast te stellen

Veel organisaties vinden het moeilijk om concreet te worden inzake Risk Appetite; uw bereidheid om risico’s te nemen. En dat is een gebrek want het is cruciaal voor echt een integrale werking van Risk Based Management.

Het ontbreken van een eenduidig door de board vastgesteld kader maakt dat de organisatie geen richtlijn heeft over wat wel en niet acceptabel is. En dus niet weet wanneer er gezocht moet worden naar aanvullende beheersing alvorens een risicovol traject doorgang kan vinden. Als de board al niet weet wat wel en niet acceptabel is……

Stap 1: bepaal de kernwaarden van de organisatie

Er kunnen maar een bepaald aantal waarden zijn die uw organisatie echt belangrijk vindt. Deze kunnen veranderen indien het businessmodel verandert maar dit kan niet regelmatig zijn. In deze context bedoel ik met kernwaarden zaken als klanttevredenheid, financiële continuïteit, voldoen aan wet- en regelgeving, veiligheid van medewerkers en klanten, reputatie, enz. 

Kernwaarden zijn iets anders dan doelstellingen en kunnen ook niet door elkaar gebruikt worden. Kernwaarden zijn de randvoorwaarden die goed moet zijn om de doelstellingen te bereiken.

Stap 2: laat de Board individueel stemmen

Een eenvoudige stap is om alle boardleden individueel aan te laten geven (op een schaal van 1-5  bijvoorbeeld) hoeveel risico acceptabel is voor de organisatie in hun ogen. Op dit moment komen de verschillen boven water. De recente ervaringen zullen in hoge mate invloed hebben op de score. Indien men net uit een financieel roerige periode komt zal de appetite lager liggen. Vervolgens is het zaak om op basis van een zorgvuldige onderbouwing gezamenlijk de appetite vast te stellen. Zorg er wel voor dat de schaalverdeling duidelijk is omschreven.

Schermafbeelding 2017-03-07 om 22.04.19

Stap 3: Eenvoudige toelichting per kernwaarde

Beschrijf in eenvoudige woorden per kernwaarde wat de organisatie wil wat er niet mag gebeuren. De volgende vragen kunnen hierbij helpen (indien mogelijk zo concreet mogelijk met cijfers onderbouwen):

  1. Wat mag er nog wel gebeuren?
  2. Wat mag er niet gebeuren?
  3. Wat moet er minstens tegenover staan?
  4. Welke actie verwacht je bij het nemen van een risico?
  5. Welke escalatie is gewenst?

Let op!

Het kan dus heel goed gebeuren dat er in een noodzakelijk project risico’s worden geïdentificeerd die de Risk Appetite te boven gaan. Dit betekent niet dat het project stopgezet moet worden. Er moet wel een alternatief bedacht worden om toch het doel te bereiken zonder At Risk te zijn op de belangrijke kernwaarden. Deze kunnen immers de organisatie omver trekken.


2 reacties

Hoe Risicomanagement bij Van Oord bijdraagt aan betere prestaties

Cyrille Wismans, Risicomanager bij Van Oord, legt uit hoe risicomanagement is opgezet bij Van Oord Hier zijn ze twee jaar geleden structureel mee begonnen. Vijf jaar geleden begon hij als Risk Engineer bij Van Oord, waar hij nu teamleider is bij de Project Planning & Riskafdeling. 

Complexere Projecten vragen om beter Risicomanagement

Risicomanagement is op dit moment binnen Van Oord gepositioneerd in de afdeling Engineering & Estimating.  Vanuit deze afdelingworden alle area’s en business units bediend. De aanleiding om risicomanagement prioriteit te geven komt doordat het bedrijf steeds meer complexe, innovatieve projecten aanneemt van grote omvang en met een lange doorlooptijd. Complexe projecten vormen een substantieel deel van de business van Van Oord, risicomanagement is dus van groot belang.

Belang van Risicomanagement

Van Oord heeft haar werkgebied (de gehele wereld) ingedeeld in 5 area’s  en een drietal business units. Bij de business unit Offshore gaat het vooral om grote projecten in de offshore olie- en gasindustrie. Onder andere de aanleg, het vervangen van en het onderhoud aan onderwaterpijpleidingen. In deze industrie staan vanwege de lage olieprijs de prijzen momenteel enorm onder druk. Hierdoor is het belang van risicomanagement flink toegenomen. Ook  in de offshore windindustrie is Van Oord actief. Een industrie waar risicomanagement een grote rol speelt. Van Oord voert hier grote projecten uit, waar veel verantwoordelijkheid mee gemoeid is. Ze staat garant voor het hele ontwerp, de levering, de inkoop en bouw van windmolenparken. Hierdoor trekt het bedrijf veel risico’s naar zich toe.

Lange adem

Zoals eerder genoemd is structureel risicomanagement relatief nieuw bij Van Oord. Om een succesvolle implementatie te bewerkstelligen is het volgens Wismans essentieel om verder te bouwen op de al bestaande werkwijzen in het bedrijf. Daarnaast dient men zich te realiseren dat de implementatie van risicomanagement  een proces is van de lange adem.

Betrokkenheid van de Board cruciaal

Wanneer er gekeken wordt naar het proces zoals dat door Van Oord wordt gehanteerd in relatie tot risicomanagement, dan legt Wismans uit dat de Board acht key focus areas in Van Oord heeft aangewezen. Hiervan is risicomanagement er één. In het proces van het binnenhalen van een project tot aan de uitvoering, heeft Van Oord een aantal quality gates (stage gates)  ingebouwd. Het risicomanagement proces sluit hierop aan en vormt een belangrijk onderdeel van het besluitvormingstraject. Bij iedere stage gate wordt gebruik gemaakt van risicoinformatie die uit de risicomanagement cyclus komt. Bij stage gate 1 wordt bijvoorbeeld besloten of Van Oord wel of niet zal  tenderen. Hier ligt een commerciële en strategische afweging aan ten grondslag, maar ook het risicoprofiel van een werk wordt in deze afweging meegenomen.

Risk en Opportunity Database

Van Oord heeft een risk and opportunity identification list ontwikkeld. Hierin zitten ongeveer 150 risico’s verdeeld over twaalf risicogebieden waar het bedrijf in veel van haar projecten mee te maken heeft. Voorbeelden zijn: Political and Economical, Physical Conditions, Environmental Impact, Procurement and Subcontracting, Safety & Health and Security, Contractual and Legal. Het proces begint bij de risico identificatie. In een omgeving waar veel technische mensen werken, die de neiging hebben snel van probleem naar oplossing te gaan, is de toegevoegde waarde van risicomanagement het verzamelen van alle input en het daarin aanbrengen van de noodzakelijke structuur.

Lessons learnt

Om meer inzicht te krijgen in de aard en omvang van risico’s is niet alleen de lijst met de twaalf risicogebieden  belangrijk, maar ook de lessons learnt. In de eindewerkrapporten ligt een enorme schat aan informatie, ook over de opgetreden risico’s. Daarnaast zijn er gesprekken met projectleiders die kennis hebben van een bepaald gebied essentieel.

Iedereen aan tafel!

Wismans legt uit hoe hij de analyses begeleidt: “We zitten met begroters en werkvoorbereiders om tafel, analyseren de risico’s en zoeken voortdurend naar optimalisatie. Als je scherp gaat wil je uiteraard ook weten waar je aan toe bent. Tenders met een waarde van meer dan vijftig miljoen euro moeten sowieso langs onze Board. Een van de elementen die daar op tafel komt te liggen is risicomanagement en de noodzakelijke reserveringen. Als de Board kritische vragen stelt, zit de Risico Engineer veelal aan tafel om toelichting te geven”. Volgens Wismans is Van Oord met het risicomanagement op de goede weg, maar er valt nog meer winst te behalen. Deze zit met name in de betrokkenheid tijdens de uitvoering van projecten. Een stijgende lijn is al wel te zien.

Automatisering voor borging en eenvoud

schermafbeelding-2017-01-12-om-23-13-29

Daarnaast wordt er  gewerkt aan automatisering. Wismans vertelt dat Van Oord momenteel samenwerkt met Naris. Het bedrijf heeft een eigen kennisdatabase ontwikkeld, gebaseerd op NARIS GRC, maar met een Van Oord look and feel. Voor elk project worden daar de risico’s in gehangen en de projecten worden weer onverdeeld in area’s of typen projecten. Wanneer er een redelijk aantal projecten in is opgeslagen, kun je binnen area’s of op typen projecten een statistische analyse doen.

Een systeem zoals Van Oord nu heeft, een soort op maat gemaakte NARIS GRC, zorgt ervoor dat mensen meer gestimuleerd en gedwongen worden om over risico’s na te denken, deze systematisch te identificeren en te structureren.  Middelen als de risk and opportunity identification list, geven structuur en houvast. En bovendien een beter begrip van de risico’s. 

Gouden tips:

  • Mensen/managers moeten risicomanagement echt willen adopteren, wil het werken
  • Een risicomanager moet pro-actief zijn, hij moet veel uitleggen en sturen, meer brengen dan halen en zichzelf kunnen verkopen
  • Zorg voor realistische doelstellingen en verwachtingen
  • De risicomanager moet een duidelijk zichtbare plaats in de organisatie hebben