Erik van Marle – Blog over risicomanagement

www.naris.com

Categorie archief: Uncategorized


door 1 reactie

Hoe krijg je tijd voor Key Risks?

Kansen

Risicomanagement wordt as we speak echt op de proef gesteld. Alle aandacht gaat, volkomen terecht, uit naar het Coronavirus. De wereld om ons heen verandert heel snel, iedere dag nieuwe regels / omstandigheden waarmee we direct mee moeten kunnen omgaan. Onze flexibiliteit is nog nooit zo op de proef gesteld en ik weet ook heel zeker dat dit de maatschappij nog veel gaat brengen. Iedereen ervaart nu verplicht hoe eenvoudig het toch is om thuis te werken, niet voor iedere afspraak in de auto te stappen, de continuiteit van dienstverlening te flexibiliseren, etc. De bijkomende gevolgen zijn helemaal niet slecht….. minder CO2 uitstoot, minder geluidsoverlast, etc. Zou dit de push zijn die wij als wereldbevolking nodig hadden? Interesting!

Bedreigingen

Spannend is ook om te zien hoe goed bedrijven hun risicomanagement op orde hebben. Het Coronavirus is een Extern risico in de definitie van Kaplan. We ervaren hoe lastig de beheersing is omdat de beïnvloedbaarheid van het risico zeer laag is. Toch hadden we het in Europe op een gegeven moment zeker kunnen zien aankomen en ook al kunnen leren van de maatregelen die China had genomen, ondanks dat dit nog maar enkele weken oud was!

Waarom is dit zo weinig gebeurd?

Tijd?

Hebben we in onze organisaties voldoende tijd ingebouwd om de strategische en externe risico’s te managen? Risicobewuste organisaties, High Reliability Organizations, nemen in gevaarlijke situaties een TimeOut. Hebben we daar de tijd voor?

In Control

Er zit veel semantiek in de woorden ‘In Control’, ‘Alles onder controle’, ‘Controle’, ‘In Control Statement’, ‘In Control Framework’, etc. Wellicht moet de definitie zijn dat je ‘In Control’ bent op het moment dat er voldoende tijd over is om de echte risico’s te managen.

Afwijkingen verdienen aandacht!

Waarschijnlijk heeft > 80% van de risicoprofielen in organisaties een operationeel karakter. Het is heel menselijk / natuurlijk om juist daar te kijken waar het om de grote getallen gaat. Deze risico’s gaan namelijk ook vaak door onze belangrijkste processen en dus is het ook gebruikelijk dat er veel aandacht aan besteed wordt. Door audit, door de accountants, door de controller en daarmee door bestuur, management en RvC.

Toch zou ik willen adviseren om er op te vertrouwen dat deze risico’s en processen over het algemeen heel goed gemanaged worden door de organisatie. Het is hun Core Business. Aan de randen van de ‘normaal verdeling’ vinden de interessante afwijkingen plaats. Deze afwijkingen (incidenten), in positieve of negatieve zin, zijn de eerste signalen of er ergens iets stagneert. Durf het lef te hebben om minder tijd te besteden aan de controle op operationele risico’s.

En hebben we tijd voor een risicobewuste organisatie voor alle continue veranderingen en bijbehorende soorten risico’s. Lees:

  • Klimaatverandering
  • Cybersecurity
  • TCFD
  • Toeleveranciers
  • Economische teruggang
  • Veranderende wet- en regelgeving
  • Datalekken
  • Beschikbaarheid van kapitaal
  • etc.


door 1 reactie

De meeste risico’s deugen!

Een verwijzing naar het zeer interessante boek en aanrader ‘De meeste mensen deugen’ van Rutger Bregman. Zou een aantal van zijn conclusies ook toepasbaar zijn op risico’s? Bij voorbaat geef ik aan dat geen van wat ik beweer op enige wetenschappelijk onderbouwing is gebaseerd 😉. Gewoon een blog om de gedachten weer eens de vrije loop te laten.

Rutger Bregman doet in zijn boek een aantal constateringen die je volgens mij ook op het onderwerp risicomanagement zou kunnen loslaten.

  1. Niemand staat ‘s-ochtends op met het idee een ander pijn te doen of schade te veroorzaken
  2. Slecht nieuws krijgt meer aandacht dan goed nieuws terwijl dit laatste er stiekem meer is
  3. Zodra je ergens regels / omheining omheen zet begint het gevecht, als iets gemeenschappelijks is zorg je er ook met elkaar voor
  4. Wie vriendelijk doet, wie goed ontmoet

Ad 1. Te grote risico’s neemt niemand zomaar.

De mens is van nature heel risicobewust. Iedereen op zijn of haar eigen wijze maar niemand zal risico’s nemen waarbij mensen of zaken die men belangrijk vindt in gevaar komen. Dit geldt mijns inziens voor zowel de privésfeer als in de zakelijke omgeving. Zakelijk liggen de consequenties vaak verder weg waardoor men de directe gevolgen wellicht niet altijd scherp heeft maar dit heeft ook te maken met in welke mate men voldoende is opgeleid voor de functie. Als je weet dat door jouw nalaten klanten niet verzekerd zijn zal iedereen er van nature alles aan doen om dit te voorkomen. Soms heeft men onvoldoende kennis om het geheel te overzien maar dit zie ik meer als een afstemmingsvraagstuk. Weet iedereen van elkaar waar en waarom men de dingen doet zoals ze gedaan worden?

Ad 2. De meeste risico’s nemen we goed.

Ik ben er van overtuigd dat >80% (en dat is de voorzichtige schatting) van de risico’s goed gemanaged worden. We hebben het hier alleen niet over. Organisaties hebben (net als Rutger Bregman vaak aangeeft) meer oog voor wat er mis gaat dan voor wat er allemaal goed gaat. Hoeveel zaken gaan er goed bij het bouwen van een huis? Huizen worden tegenwoordig opgeleverd met minder dan 10 opleverpunten. 10 van de hoeveel?? Heel veel!
Natuurlijk moeten we leren van onze fouten en incidenten. Maar we moeten ook vieren wat er goed gaat! Als Naris hebben wij al 2 keer de lancering van ons nieuwe platform uitgesteld. We gaan voor kwaliteit en voor veilig (lees ook het boek: ‘het is oorlog maar niemand die het ziet’ van Huib Modderkolk dan weet je waarom). Tot 2 keer toe opnieuw begonnen, heel veel leergeld betaald door veel mensen. Nu is het zaak dit ook te gebruiken en iedere keer beter te worden. Ik ben ervan overtuigd dat wij met het mooiste en meest integrale pakket op de markt gaan komen maar ben in dit proces ook al een paar keer in de ‘negatieve spiraal’ terecht gekomen. Het is echt moeilijk om de successen te blijven zien omdat de aandacht blijkbaar heel natuurlijk altijd naar de fouten gaat. Dit vraag continue bewustzijn op dit gebied.

Ad3. Te formele organisaties organiseren grote risico’s!

Als organisaties nog klein zijn, zeg start-ups, is alles heel overzichtelijk. Er zijn nog geen formele rollen en verantwoordelijkheden. We kijken met elkaar naar het totaal en iedereen pakt op waar men goed in is. En als iemand anders iets laat vallen staat een ander klaar om het over te nemen of te helpen. Het doel is duidelijk en gemeenschappelijk en er is geen wij tegen zij. Rutger Bregman geeft mooie voorbeelden van organisaties als Buurtzorg, Agora en burgerbegrotingen als in de stad Torres. Allemaal voorbeelden waarbij de verantwoordelijkheid voor de doelen van de organisatie breed worden gevoeld en dus ook gedragen. De risico’s die hierbij horen worden ook breed gezien en gemanaged, met elkaar. Rutger Bregman geeft in zijn boek tal van voorbeelden dat waar meer regels geïntroduceerd worden de schijnveiligheid toeneemt maar de praktijk het tegenovergestelde laat zien. Op de kostscholen worden de meeste gevechten gevoerd, in strenge gevangenissen zijn de meeste geweldsincidenten, in de strengste politiestaten zien we de meeste misdadigers, juist omdat we ertoe gedwongen worden om daar naar te kijken! Hier gaat het alleen nog maar om incidenten te zien en op iedere afwijking van de regel te handhaven

In organisaties die sterk rule driven zijn zullen we dus ook meer overtredingen / incidenten vinden. Als we van elkaar weten dat we worden aangesproken (laat ik het woord afrekenen niet gebruiken) op de hoeveelheid incidenten die we veroorzaken zullen we er alles aan doen om dit te voorkomen. In lijn met wat Rutger Bregman heeft geconstateerd in de politiestaat New York gaan we dus incidenten niet melden, onder het tapijt vegen, anderen de schuld geven, etc.

Hiermee organiseren we dus onze eigen risico’s!

Ad 4. Open en transparant leidt tot meer begrip

Voor zover ik het kan beoordelen (alleen op basis van de meer dan 200 gesprekken die ik jaarlijks heb met klanten en potentiële opdrachtgevers) worden we steeds transparanter in het delen van risicoprofielen. Door schade en schande wellicht (zeesluis IJmuiden bijvoorbeeld) komen we er achter dat hele risicovolle projecten nu eenmaal niet bij 1 partij kunnen liggen. Aan de andere kant ontstaan er uit risicovolle projecten ook weer vaak nieuwe innovaties. Als we aan de risicokant delen, dan ook aan de opbrengsten kant toch? Wellicht dat we hier nog wat stappen in moeten zetten om ook dit soort winsten nu en in de toekomst met elkaar te delen. De beste samenwerkingen zijn toch die waar je samen wint maar ook samen verliest. Een bedrijfsmodel dat alleen op risicovolle projecten is gestoeld is in mijn ogen gedoemd te mislukken. Er moet ook altijd een basis in de bedrijfsvoering zijn waar je altijd op terug kunt vallen omdat je er gewoon goed in bent en dus geld kunt verdienen. Door je kennis en expertise zijn de risico’s overzichtelijk.

Volledig in Control?

Op basis van bovenstaande moet je dat misschien meer voelen en ervaren dan afdwingen. De meeste Strategische risicoprofielen die ik ken gaan maximaal 20% over nieuwe keuzes en de overige 80% over de zaken beter doen of met een andere focus dan we al deden. Des te belangrijker om ervoor te zorgen dat de aansluiting tussen de operationele risico’s en de strategische keuzes zichtbaar is. Sturen op de belangrijkste risico’s is in 80% van de gevallen sturen op heel veel zaken die al goed gaan en waarvan we ons willen verzekeren dat dit goed blijft gaan 😉

We zouden ook de discussie aan kunnen gaan of het 3-lines of defence model nog wel zoveel toekomst heeft. Of zouden we gewoon de toon kunnen veranderen? Wij zijn laatst geaudit voor ISO27002. Als relatief kleine organisatie is dit een mooie uitdaging waarbij we erg afhankelijk zijn van onze mensen. Verloop heeft direct impact. We hadden 2 hele scherpe maar ook vriendelijke auditors die je af en toe ook gewoon op de goede weg zetten. Vriendelijkheid en hulpvaardigheid zijn de belangrijkste motivators om met veel enthousiasme de laatste puntjes op de bekende i te zetten.

Vriendelijkheid kan ook zijn om het de mensen op de werkvloer, aan het bed, achter het bureau zo makkelijk mogelijk te maken. Wie heeft er geleerd om in risico’s te denken? Niemand dus en daar staan zij ook echt niet mee op….. Toch willen we wel een uitspraak van ze. Standaardiseren en simpel houden zijn cruciaal om toch informatie te krijgen zodat je hen door middel van nieuwe inzichten en kennisdeling verder kunt helpen.

Vriendelijkheid is de taal die iedereen ziet en kan horen!


door Een reactie plaatsen

Risicomanagement bij onderhoudsstops

Op het ambassadeursnetwerk voor woningcorporaties is als ‘peer review’ een presentatie geweest van Adriaan Lefeber van HVC. Het duurzame energie- en afvalbedrijf van 44 gemeenten en 6 waterschappen.

De opgave waar HVC voor staat is complex. ‘Van Gas Los’, verduurzaming van het afvalbeheer, de afvalstroom circulair maken, rest energie terugleveren en alles wat daarbij komt kijken.

1 grote Machine

1 grote Machine

De productielocaties kunnen bijna als 1 grote machine worden gekenmerkt. De afvalstroom wordt verbrand waarbij er zo weinig mogelijk uitstoot mag plaatsvinden. Een leuk weetje; de hoeveelheid rook die je ziet zegt niets over de hoeveelheid uitstoot. Sterker, vaak is het zo dat hoe minder je ziet hoe meer uitstoot!

Groot Onderhoud

De afvalcentrales hebben meerdere lijnen die regelmatig onderhoud nodig hebben. Dit onderhoud is enerzijds om de beschikbaarheid op de lange termijn te waarborgen maar ook om continue het energierendement te verbeteren. Elke lijn heeft iedere 2 jaar groot onderhoud. De turbines in de lijn iedere 6 jaar.

Even voor de verbeelding. De ketels zijn tientallen meters hoog en er worden metershoge stellingen in aangebracht om de wanden te controleren en te repareren. Werkzaamheden dien in de juiste volgorde op elkaar te worden afgestemd om te voorkomen dat men boven elkaar werkt en er gevaarlijke situaties ontstaan.

Risico’s

Bij HVC is risicomanagement onderdeel van het kernproces. Zonder gedegen risicomanagement kunnen deze industriele processen niet veilig worden uitgevoerd. Belangrijke risico’s die continue op de agenda staan zijn:

  • Lekkage van de ketel eerder dan gepland onderhoud
  • Energiederving waardoor opbrengsten uit elektriciteit en warmte lager zijn
  • Onderdelen die niet op tijd beschikbaar zijn (sommige moeten 2 jaar voor het onderhoud worden besteld)
  • Uitloop in tijd
  • Onvoldoende personeel bij aannemers
  • Vakbekwaamheid personeel inclusief de verplichte papieren
  • Hoeveelheid mensen. Tijdens een onderhoudsstop kan de hoeveelheid extra mensen op het terrein van HVC oplopen naar 300.
  • Veiligheidsprestaties van aannemers en HVC mensen. Ongevallen liggen snel op de loer.

Beheersing

De beheersing van deze risico’s gaat niet alleen op individueel risiconiveau. Veel beheersing vindt plaats door zorgvuldige lange termijn planning. Zo worden een aantal risico’s beheerst door goed Assetmanagement. Het op orde hebben van het voorraadbeheer, continue monitoren van de kwaliteit van gebruikte materialen, het doen van metingen, etc.

Er is ook een rechtstreek verband met de strategische plannen van HVC. Marktontwikkelingen rondom afval (denk aan de recente publicaties over AEB / Afval EnergieBedrijf Amsterdam) en de daaruit verwachte vraag aan verbrandingscapaciteit. Ook de kwaliteit van het ingekochte afval is zeer bepalend voor resultaten die behaald kunnen worden.

Tenslotte gaat het om hele grote investeringen rondom een onderhoudsstop. Een zorgvuldige planning en begroting van budgetten is noodzakelijk om de noodzakelijke financiële stromen te kunnen borgen.

Veiligheid

Veiligheid is continue cruciaal. Adriaan heeft 2 keer een dodelijk ongeval meegemaakt in zijn carrière en dat blijft je altijd bij. Afspraken rondom Veiligheid en Gedrag zijn leidend. Een gedegen voorbereiding en continue monitoring zijn essentieel. Hieronder een kort overzicht van hoe dit eruit kan zien:

  • Voor de Werkvoorbereiding
    • Onderhoudsplanning in preventieve en correctieve werkorders
    • Bevroren scope
    • Selectie van aannemers obv hoge kwaliteitseisen
    • HVC veiligheids&gedragsregels zijn leidend
    • V&G plan
    • Werkvergunningenlijst en veiligstellijst
    • Stopplanning
  • Tijdens de onderhoudsstop
    • Stopplanning
    • Daily standup met aannemers
    • Dagelijks veiligheidstoezicht door HVC
    • Gasmeetrondes in besloten ruimten
    • Check op werkvergunningen
    • Mangatwachten
    • Veiligheidsapp om incidenten te melden
    • Bedrijfsnoodplan en Crisismanagementplan
  • Evaluatie
    • Inspectieverslagen
    • Evaluatieoverleg met alle betrokkenen en vaststellen van de verbetermogelijkheden

Conclusie

Voor HVC geldt dat het uitvoeren van hun core-business alleen kan in een integrale aanpak. Van het registreren van incidenten, het doen van veiligheidscontroles, het afwikkelen van schades, etc. Het is een integraal proces waarbij continue verbeteren het uitgangspunt is. Een bedrijf midden in de samenleving hoort dit gewoon zo te doen. Ze doen het gewoon!

Het ambassadeursnetwerk voor woningcorporaties is een initiatief van Aedes Vereniging van Woningcorporaties en Naris, Het Governance, Risico en Compliance Platform. Het netwerk van >100 corporaties komt 2 keer per jaar bijeen om te leren van elkaar maar ook van andere sectoren. Er worden updates gedeeld en natuurlijk het netwerk verbreed.

Kennis wordt iets waard als je het deelt!


door Een reactie plaatsen

Trends in Risico’s en de kansen die dit biedt

Schermafbeelding 2018-10-15 om 21.41.25Verandering is tegenwoordig nog de enige constante. Digitalisering van bedrijfsvoering is een continue ontwikkeling. Systemen worden steeds meer met elkaar verbonden. Niet alleen binnen organisaties zelf maar ook tussen organisaties. En hoe houd je zicht op de risico’s die dit met zich meebrengt.

Operational controls worden steeds meer geautomatiseerd. Enerzijds door de softwareleveranciers en de garanties / certificaten die ze afgeven. Anderzijds door binnen de GRC software deze controls in hoogfrequentie te laten reviewen.

Toeleveranciers management

Sinds een kleine 10 jaar wordt het merendeel van de software als SAAS (Software as a Service) aangeboden. Cyber security / informatiebeveiliging is een issue voor al je toeleveranciers van deze software. Hoe goed ken je je toeleveranciers? En kun je dezelfde aanpak gebruiken voor je andere leveranciers? De aanpak kan immers vergelijkbaar zijn.

Assetmanagement

Data is een asset. Data heeft tegenwoorden een grotere waarde voor organisaties dan de reguliere assets die op de balans staan. Er zijn uitdagingen op het gebied van transparantie, kwaliteit, juistheid, privacy, wetgeving en maatschappelijke acceptatie. Alle zul je moeten beveiligen. Welke risicoafweging maak je? Doe je dit vanuit dezelfde risk appetite?

Wetgeving als concurrentievoordeel

Wet- en regelgeving loopt achter de actualiteit aan. Zeker in het geval van nieuwe technologien. Het anticiperen hierop kan een kernkwaliteit zijn en ervoor zorgen dat je kunt outperformen ten opzichte van je concurrenten.

Nieuwe technologie biedt kansen. Maar alleen als je heel goed in samenhang de risico’s die erbij horen kunt managen. Dit vraagt een continue afweging tussen deze risico’s, de mate van control en de prestatie waar je voor wilt staan als bedrijf.

Wat een energie als je dit in de vingers hebt. Het is niet voor niks dat de snelst groeiende bedrijven volop investeren in het automatiseren van Governance, Risk en Compliance!

 


door 1 reactie

Business in Control

Sonja Janicijevic, adviseur risicomanagement bij AON, geeft samen met Robert ’t Hart en Erik van Marle (beide directeur bij Naris) een boeiende presentatie over business in control. Samen lichten ze het hoe, waarom, en vooral de grote meerwaarde van hun samenwerking toe.

De samenwerking

Sinds ongeveer een jaar werken Naris en AON samen om hun opdrachtgevers nog meer toegevoegde waarde te kunnen bieden. AON adviseert in de opzet en de implementatie, en in de toepassing van risicomanagement, en Naris biedt tooling aan om datzelfde proces goed te integreren en te borgen. Robert ’t Hart vertelt dat het Naris softwarepakket kennis deelt tussen alle gebruikers. Aon heeft deze kennis volop in huis. Kennisdeling en borging van risicomanagement en compliance met de Business in Control aanpak helpt de opdrachtgevers bij het maken van goede keuzes.

AON past het risicomanagement pragmatisch toe. De uitdaging is om deze lijn door te trekken en structureel toe te passen. De tooling van Naris helpt erbij om het risicomanagement echt iets van de organisatie te maken, een vibrerende, levende zaak. Kortom een samenwerking die duurzaamheid beoogt.

Schermafbeelding 2019-03-26 om 22.45.37

Een hoger plan

Maar hoe breng je risicomanagement nu samen naar een hoger plan? De kunst is om het risicomanagement goed en pragmatisch te implementeren, zodat het naadloos aansluit bij de organisatie. Traditioneel risicomanagement focust op het proces (hoe richt ik het proces goed in, hoe organiseer ik de verantwoordelijkheden eromheen, en hoe krijg ik die risico-informatie naar boven waar ik op moet sturen). Om dit naar de volgende fase te tillen moet vooral worden gekeken naar de effectiviteit van de te nemen maatregelen. Zijn deze maatregelen echt genomen, hebben ze daadwerkelijk tot het doel geleid, en hebben ze het risicoprofiel verbeterd? Zekerheid hierover geeft bestuurders en management vertrouwen om risico’s te blijven nemen. Zo krijgt risicomanagement betekenis.

De risicoloze wereld

We opereren in deze tijd in een enorme dynamiek, en binnen grote complexiteit. Binnen die complexiteit worden voortdurend risico’s en kansen op ons afgevuurd. In de maatschappij zie je dat als er een incident voorvalt, we scherpe vragen gaan stellen en het incident willen uitbannen. We lijken te verlangen naar een risicoloze wereld. Als reactie hierop proberen we regels te verzinnen, maar ook fysieke maatregelen te treffen om deze risico’s voor te zijn.

In de business in control-aanpak van AON en Naris wordt gefocust op sturing maar ook op verantwoording van de inrichting van het risicomanagementproces. Allereerst wordt ervoor gezorgd dat het traditionele stuk op orde is, en vervolgens verschuift de aandacht naar de borging van de controls. Dit door middel van periodieke checks met ‘lichte audits’ / assessments.  Er hoeft hier niet per se een auditafdeling voor aanwezig te zijn, de assessment is onderdeel van de aanpak die Aon en Naris bieden. Borging van de key controls is essentieel en geeft aan in hoeverre risicomanagement daadwerkelijk effectief is.

Three Lines of Defense

Wat betreft de risico’s die het bedrijf bedreigen: het management zal bewust en proactief moeten zijn. De kunst is om als tweede lijn alleen maar te faciliteren bij het in beeld brengen en managen van risico’s, en het proces vooral niet over te nemen. Het doorvoeren van maatregelen is en blijft de verantwoordelijkheid van de eerste lijn, integraal met de verantwoordelijkheid voor de aansturing van de onderneming.

De waarde van dialoog

Het is belangrijk om het gesprek over risico’s op gang te houden, of het nu één op één of in een groepssessie gebeurt. De facilitator (2de lijn) stelt vragen en helpt gedachten te orderen. De risico-eigenaren formuleren zelf de risico’s en voelen daarmee het eigenaarschap en de verantwoordelijkheid voor actie. Voortdurende risico-dialoog leidt tot bewustwording over risico’s en over de noodzaak tot actie nemen. Deze aanpak draagt bij aan de insteek van de nieuwe COSO: zorg dat je dicht bij de strategie en sturing van je organisatie blijft, zorg dat het leeft!

De voordelen

Een groot voordeel van deze werkwijze is dat de focus ligt bij de resultaten van risicomanagement: de realisatie van maatregelen en daadwerkelijk verbeteren van het risicoprofiel. Dit verkoopt naar de business! Ook wat betreft het in control statement wordt zo aangetoond dat de organisatie goed zicht heeft op de belangrijkste risico’s. Daarnaast is het belangrijk dat je als bedrijf leert van het wel of niet werken van de beheersing, en dat ’three lines of defence’ goed en duidelijk samenwerken.

De praktijk

Erik van Marle vertelt dat de kracht zit in de combinatie. Als adviezen niet geborgd worden is het lastig om erop terug te komen. Bij leiderschap is het nakomen van gemaakte afspraken essentieel. Door monitoring van de status van risicobeheersing is focus op de effectiviteit van risicomanagement gevestigd. Als je dit doet met de Naris software kun je in één afbeelding zien wat mensen met elkaar willen bereiken. Je kunt daarnaast heel helder herkennen welke risico’s de doelstellingen van het bedrijf bedreigen. Deze combinatie zal het bestuur het vertrouwen geven bij het nemen van belangrijke beslissingen. Tegenwoordig zit er dus veel meer dynamiek in de control: Max Verstappen rijdt zo hard omdat hij honderd procent vertrouwt op de remmen die hij heeft.


door 1 reactie

ING’s mislukte 3-line of Defence model in Witwas schandaal!

Financieel Dagblad Zaterdag 8 september

IMG_20CD16F24B89-1

De 3 afdelingen ‘business’, ‘compliance’ en ‘internal audit’ binnen ING hebben langs elkaar heen gewerkt. Niemand voelt zich verantwoordelijk voor het geheel. ‘Velen waren gezamenlijk verantwoordelijk voor een deel van het verwijtbare gedrag’ geeft het OM aan.

Laat dit nu net het probleem zijn waar de Monitoring Commissie Corporate Governance Code in de laatste update heel veel aandacht aan heeft besteed. De code is tegenwoordig zelfs wettelijk verankerd.

Corporate Governance Code

De Code besteed veel aandacht aan Risicomanagement. Ze geeft daarbij zelfs aan dat ondernemerschap het realiseren van kansen is door op een bewuste wijze risico’s te nemen. Hiervoor is essentieel een adequaat risicobeheersingssysteem. Dit moet onder andere een vooruitblik geven op die risico’s die het voortbestaan van de organisatie in de weg kunnen staan. Expliciet wordt hierbij aangeven dat de auditfunctie hier een steeds belangrijkere rol in gaat spelen. Immers, het bestuur en de raad van commissarissen krijgen door deze functie echt inzicht in de werking van het risicobeheersingssysteem van de organisatie.

3-Lines of Defence

De uitgangspunten van het 3-lines of defence model zijn volgens mij al heel lang erg duidelijk. De ‘business’ (1st line) is eindverantwoordelijk voor de keuzes die ze maken en de risico’s die ze businesswise aangaan. Hier zou bij een organisatie als ING toch geen onduidelijkheid over moeten bestaan?

‘Compliance'(2de line) ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.

‘Internal Audit’ (3de line) voorziet de hoogste leiding van zekerheid over de kwaliteit van sturing en beheersing. Ze is dus niet in directe zin verantwoordelijk voor de kwaliteit van het in control zijn van de organisatie maar wel verantwoordelijk voor de mate waarin ze in staat is om de inconsistenties in de opzet en het bestaan van de control frameworks te analyseren en zichtbaar te maken.

De praktijk is altijd weerbarstig maar heeft vaak wel te maken met ego’s/cultuur. De praktijk leert dat iedere lijn z’n eigen systemen wil en het liefst de Rolls-Royce. Het kost organisaties ontzettend veel tijd om hier keuzes in te maken. Hierdoor verschuift uiteindelijk de aandacht en de urgentie. ‘Business’ voelt zich altijd superieur en dus volgt Compliance en Audit. Het gevolg hiervan is dat de systemen om het risicomanagement en beheerssysteem niet gaan functioneren. Bestuur en management missen het zicht op de kansen en bijbehorende beheersing.

4 Aanbevelingen:

  1. Alle afdelingen zullen moeten werken in hetzelfde systeem!
  2. Het bijhouden van kansen die genomen worden en de beheersing die hierbij past is een verantwoordelijkheid van de ‘business’;
  3. ‘Audit’ en ‘Compliance’ zijn leading in de keuze van de systematiek en het systeem;
  4. ‘Audit’ legt rechtstreeks uit het systeem verantwoording af over de bevindingen en aanbevelingen aan bestuur en raad van commissarissen.

ING

Dit is het ultieme moment voor ING om het juiste risicobewuste gedrag in de organisatie te stimuleren en de cultuur te veranderen. Maak de ‘business’ expliciet verantwoordelijk voor het benoemen en beheersen en dus vastleggen van dit soort risico’s. Bepaald dat ‘Compliance’ en ‘Audit’ bepalen via welk proces en systeem er gewerkt dient te worden. Het heeft geen zin nog meer afvink gedrag te stimuleren door meer compliance officers aan te stellen. Zorg dat de ‘business’ begrijpt wat ze aan het doen zijn en dat het hun verantwoordelijkheid is.

‘Never let a good crisis go to waste’ Winston Churchill


door Een reactie plaatsen

Praktisch Stappenplan Risicomanagement Woningcorporaties

Risicomanagement is niet nieuw! Iedere organisatie doet bewust of onbewust al heel veel aan risicomanagement. Bewust vaak op de financiële processen. Op alle andere processen vaak heel onbewust. Gelukkig maar want dit zijn over het algemeen wel de meest risicovolle processen.

Voordat je begint is het verstandig te bepalen wat je wilt bereiken met Risicomanagement. Wat mij betreft zijn dit maar een paar zaken:
1. Risicobewuste medewerkers;
2. Inzicht in de mate en vooruitgang van beheersing van je belangrijkste risico’s;
3. Inzicht in waar je moet bijsturen om je doelstellingen te realiseren.

De grootste valkuilen zijn:
* Eindeloze excellijsten met alleen maar risico’s;
* Op zoek naar schijnzekerheid door ingewikkelde formule’s en oorzaak-gevolg relaties te willen gebruiken;
* Geen aansluiting bij de medewerkers door iets op te leveren wat ze niet gebruiken in hun dagelijks werk;
* Geen aansluiting bij de vraag van intern en extern toezicht waardoor zaken dubbel gebeuren;
* Geen relatie te hebben met beslissingen die je wilt nemen!

Stap 1
Dit is de moeilijkste. Het volledige MT moet het erover eens zijn dat informatie over Risico’s, de mate van beheersing, het inzicht in Compliance en de bevindingen van Audit gebruikt worden om beslissingen te nemen. Dit betekent dus dat deze informatie mede leidend is en gefaciliteerd wordt om deze informatie op te halen.

Schermafbeelding 2017-12-20 om 21.41.46

Stap 2
Visualiseer je strategie. Met de woningwet van tegenwoordig moeten corporaties in staat zijn een duidelijke (SMART) strategie neer te zetten, gebaseerd op de prestatieafspraken. Je bent succesvol als corporatie op het moment dat je je strategie weet te realiseren. Mooie projecten realiseren die niet bijdragen aan de strategie dragen dus niet bij aan het succesvol zijn.

Maak een Strategiekaart waarin het voor alle medewerkers duidelijk is welke activiteiten je cruciaal vindt voor de corporatie. Hang deze op in de gang, in de kantine zodat er vaak over gesproken kan worden.

Schermafbeelding 2016-09-15 om 08.59.09

Stap 3
Gebruik de Strategiekaart als uitgangspunt van waaruit je de risicoanalyse start. 2-5 risico’s per succesfactor zijn meer dan genoeg om inzicht te krijgen waar de uitdagingen in de organisatie zitten. Doe dit met alle mensen die betrokken zijn bij de processen rondom zo’n succesfactor. Let goed op de kwaliteit van omschrijving, je gezamenlijk inschatting van impact en gebruik altijd voorbeelden ter illustratie. Dit maakt het repliceerbaar en blijft de context beschikbaar.

Benoem een eigenaar die verantwoordelijk blijft voor de opvolging van acties en kwaliteit van het beschreven risico.

Schermafbeelding 2016-11-17 om 18.31.59

Stap 4
Inventariseer wat er allemaal al gedaan wordt aan beheersing en bepaal of dit effectief is. Inventariseer vervolgens wat er meer of beter gedaan kan worden en leg duidelijk vast wat er verwacht wordt. Bepaal ook in welke frequentie dit gecontroleerd moet worden en wie ervoor verantwoordelijk is.

Stap 5
Zorg na iedere sessie dat de deelnemers direct een rapportage ontvangen met daarin het gedane werk en uitstaande acties. Zorg dat dit aansluit bij bestaande werkzaamheden. Kijk ook welke rapportages er nu al zijn en niet gebruikt worden. Deze zijn overbodig.

Optimaal is wanneer je met elkaar in 1 systeem werkt. Dit dwingt een uniforme en standaard taal af waarmee iedereen risico’s op dezelfde wijze beschrijft. Dit inzicht in onbetaalbaar, zowel voor begrip als voor het kunnen nemen van besluiten.

Schermafbeelding 2016-11-17 om 18.33.38

Stap 6
Als Riskmanager werk je samen met de Compliance Officer, de business controller en audit. Je hebt afstemming over de prioriteiten en je bent gezamenlijk de helpdesk voor de organisatie. Monitor de intensiteit van wijzigingen in het profiel, dat zegt echt wat of de organisatie risicobewust is.

Dit is direct hele relevante informatie voor toezichthouders, wiens taak het is om toezicht te houden op het risicomanagement en beheersysteem van de organisatie.

Stap 7
Incidenten zijn een onderschatte bron van informatie over wat er gebeurd in een organisatie. En dan hebben we het niet alleen over veiligheidsincidenten. Iedere verstoring in een normaal proces is een incident. Begin gewoon eenvoudig met het vastleggen hiervan en je zult ervaren dat dit veel inzicht geeft welke zaken vaak misgaan en waar over het algemeen ook snel wat aan gedaan kan worden.

Bij een grote projectgedreven organisatie levert het incidentenoverzicht sneller en meer inzicht op over de status van een project dan de mooie rapportages aan het einde van iedere maand. Het niet beschikbaar zijn van personeel of materieel, het niet rond hebben van de vergunning; allemaal incidenten waaruit je direct kan afleiden of het project wel of niet soepel begint.

Schermafbeelding 2017-12-20 om 22.05.15

Tot slot
Wees je er continue van bewust dat de informatie die je ophaalt uit de organisatie en ter bespreking voorlegt relevant moet zijn. Je doet het niet omdat het moet maar omdat het je helpt. Het heeft daarom ook geen zin om hier regels voor te introduceren. De juiste mensen willen dit omdat het ze tot betere prestaties leidt.

Het juiste management wil dit omdat het ze een fijnere, succesvollere, veiligere organisatie oplevert die doet waarvoor de organisatie bestaat.


door 3 reacties

Geen gesjoemel met compliance!

Als bedrijf moet je gewoon aan de wet voldoen. En als bedrijf ben je er verantwoordelijk voor dat je dit bent.
Van iedere medewerker mag verwacht worden dat deze weet welke eisen vanuit wet of normen aan het werk gesteld worden. De organisatie moet hen hierbij helpen door het faciliteren van opleiding en training.

Overactieve Compliance Officer?

Wat ik het meeste tegenkom is dat de compliance officer, riskmanager, ICT manager, etc. zelf of door middel van interviews de informatie proberen vast te leggen. Fout! Op deze wijze krijg je nooit verantwoordelijkheidsgevoel op de plek waar het hoort. Bovendien zorgt dit er ook voor dat het altijd een individueel feestje blijft. Budget en  capaciteit vrijmaken blijft dan altijd een gebedel.

Verantwoordelijkheid bij de medewerker

De ideale situatie krijg je door de medewerkers zelf te laten aangeven of ze wel of niet compliant zijn. Reik ze handvatten en tooling aan. Verzorg trainingen. Organiseer een vraagbaak. Maar zorg ervoor dat de mensen zelf schrijven! Dan maak je verantwoordelijkheid expliciet.
Zo krijg je zelf tijd om inzicht te verschaffen. Aan management en medewerkers. Je legt de zwakke plekken bloot en er is een samenhangend verhaal over waar budget en capaciteit nodig is om de organisatie te verbeteren.
Schermafbeelding 2016-09-13 om 21.27.33

100% Compliant bestaat niet! 100% inzicht wel!

Compliance kan niet zonder Risk en Audit functioneren. 100% compliant bestaat niet.
100% inzicht wel!
Risk als basis voor waar je absoluut compliant wilt zijn en daar waar je het niet bent zul je moeten kunnen uitleggen waarom (nog) niet. Welk plan ligt hierachter? Audit is nodig om de toezichthouder en het management comfort te geven over de kwaliteit van de beheersmaatregelen. Tegenwoordig is het niet acceptabel dat je als organisatie niet zeker bent over de status van de beheersmaatregelen op je belangrijkste risico’s.
De belangrijkste risico’s worden bepaald aan de hand van de relatie met de doelstellingen van de organisatie. Een powerfull instrument om keuzes te maken waar de schaarse middelen van de organisatie aan besteed kunnen worden om strategie te realiseren.
Schermafbeelding 2016-09-15 om 08.59.09


door 5 reacties

Corporate Governance en veilig incidenten melden

Corporate Governance en veilig incidenten melden

Natuurlijk wordt de wereld transparanter en willen we ook ook steeds meer weten van bedrijven. En zolang bedrijven en dus personen INTEGER handelen heeft dit een zeer positieve uitwerking op de uitstraling van de organisatie.

Incident melden

Er is tegenwoordig echter ook een andere vorm van transparantie. De transparantie die de media, de externe toezichthouder, parlementaire enquete, branchvereniging, etc zoekt nadat zich incidenten hebben voorgedaan. Het resultaat van deze laatste vorm van transparantie is een bijna niet te stoppen vallend imago van de betrokken organisaties in het bijzonder en de branche in het algemeen. Denk hierbij aan de bankensector, de woningcorporaties, de tussenpersonen en financiële adviseurs, de bouwsector, etc. De voorbeelden staan iedere week in de krant. Naam en toenaam worden niet geschuwd.

Het grote risico van ‘Naming and Shaming”

Het effect van deze ‘naming and shaming’ heeft een veel grotere impact dan de veroorzakers hiervan zich volgens mij realiseren. Een paar effecten voor de vuist weg:

  • Het imago van het bedrijf is voor vele jaren besmeurd;
  • Huidige stakeholders verliezen vertrouwen;
  • Klanten vertrekken;
  • Enorme juridische kosten;
  • Reorganisatie voor medewerkers;
  • etc.

Maar het grootste risico is dat voor de komende jaren niemand meer iets durft te melden binnen zo’n organisatie!

Alle ervaringen leren ons immers dat mensen dit soort ervaringen nooit meer willen meemaken. Iedere kans om zo’n mediacircus te voorkomen wordt dan toch aangegrepen? En we weten hoe het met de klokkenluiders afloopt…..

Waar is de Raad van Toezicht?

Naar mijn mening is een van de belangrijkste taken van de Raad van Toezicht / Raad van Commissarissen bereikbaar te zijn voor meldingen van incidenten. Zelfs pro-actief hier naar op zoek te gaan. Het is een van de belangrijkste indicatoren om te zien en te voelen of een organisatie zich veilig voelt en continue wil verbeteren.

Aan iedere materiële claim gaan 100 incidenten vooraf!

Ziet u als toezichthouder de belangrijkste 5 oorzaken van de meest voorkomende incidenten in uw organisatie?

De organisatie uit de wind houden!

Door het inzicht te hebben in deze incidenten bent u als toezichthouder in staat om de organisatie op de belangrijke momenten uit de wind te houden. In geval van incidenten staat u voor de bestuurder. Indien het voor de wind gaat staat u achter de bestuurder. Op dit soort moment is de RvC de enige die voor continuïteit van de organisatie kan zorgen. Een van de belangrijkste doelstellingen die een RvC moet hebben?

Governance Code Van Manen

Gelukkig is er in de nieuwe code ingegaan op deze elementen. De RvC is verantwoordelijk voor de goede werking van het Risicomanagement en Beheerssysteem. Daar hoort bij het toetsen van de juiste cultuur die past bij de desbetreffende organisatie. Een onderdeel hiervan is vanzelfsprekend het monitoren van onregelmatigheden / incidenten.

Good Governance, niet in het bijzonder voor je medebestuurders maar voor de belangrijkste stakeholders (medewerkers) van je organisatie!

ps. Incidenten betreffen dus de onregelmatigheden in de breedste zin van het woord. Veiligheid, Arbo, Financiele missers, HR, etc. zijn in deze zin uitwisselbaar.

 


door 2 reacties

3 stappen om eenvoudig uw Risk Appetite vast te stellen

3 stappen om eenvoudig uw Risk Appetite vast te stellen

Veel organisaties vinden het moeilijk om concreet te worden inzake Risk Appetite; uw bereidheid om risico’s te nemen. En dat is een gebrek want het is cruciaal voor echt een integrale werking van Risk Based Management.

Het ontbreken van een eenduidig door de board vastgesteld kader maakt dat de organisatie geen richtlijn heeft over wat wel en niet acceptabel is. En dus niet weet wanneer er gezocht moet worden naar aanvullende beheersing alvorens een risicovol traject doorgang kan vinden. Als de board al niet weet wat wel en niet acceptabel is……

Stap 1: bepaal de kernwaarden van de organisatie

Er kunnen maar een bepaald aantal waarden zijn die uw organisatie echt belangrijk vindt. Deze kunnen veranderen indien het businessmodel verandert maar dit kan niet regelmatig zijn. In deze context bedoel ik met kernwaarden zaken als klanttevredenheid, financiële continuïteit, voldoen aan wet- en regelgeving, veiligheid van medewerkers en klanten, reputatie, enz. 

Kernwaarden zijn iets anders dan doelstellingen en kunnen ook niet door elkaar gebruikt worden. Kernwaarden zijn de randvoorwaarden die goed moet zijn om de doelstellingen te bereiken.

Stap 2: laat de Board individueel stemmen

Een eenvoudige stap is om alle boardleden individueel aan te laten geven (op een schaal van 1-5  bijvoorbeeld) hoeveel risico acceptabel is voor de organisatie in hun ogen. Op dit moment komen de verschillen boven water. De recente ervaringen zullen in hoge mate invloed hebben op de score. Indien men net uit een financieel roerige periode komt zal de appetite lager liggen. Vervolgens is het zaak om op basis van een zorgvuldige onderbouwing gezamenlijk de appetite vast te stellen. Zorg er wel voor dat de schaalverdeling duidelijk is omschreven.

Schermafbeelding 2017-03-07 om 22.04.19

Stap 3: Eenvoudige toelichting per kernwaarde

Beschrijf in eenvoudige woorden per kernwaarde wat de organisatie wil wat er niet mag gebeuren. De volgende vragen kunnen hierbij helpen (indien mogelijk zo concreet mogelijk met cijfers onderbouwen):

  1. Wat mag er nog wel gebeuren?
  2. Wat mag er niet gebeuren?
  3. Wat moet er minstens tegenover staan?
  4. Welke actie verwacht je bij het nemen van een risico?
  5. Welke escalatie is gewenst?

Let op!

Het kan dus heel goed gebeuren dat er in een noodzakelijk project risico’s worden geïdentificeerd die de Risk Appetite te boven gaan. Dit betekent niet dat het project stopgezet moet worden. Er moet wel een alternatief bedacht worden om toch het doel te bereiken zonder At Risk te zijn op de belangrijke kernwaarden. Deze kunnen immers de organisatie omver trekken.