Erik van Marle – Blog over risicomanagement

www.naris.com


Een reactie plaatsen

De kracht van de 2e lijn!

De verschillende implementatiemodellen op een rij en Best Practice Watermeloen+ model

Naar aanleiding van ons webinar ‘is de 2e lijn wel sterk genoeg?’ https://naris.com/nl/is-de-2e-lijn-wel-sterk-genoeg/

Er zijn ontzettend veel reacties binnengekomen op de verschillende modellen die wij gepresenteerd hebben. Met als eye-catcher het Watermeloen Model. Een nadere toelichting van dit model is gewenst en deze blog is hier een aanzet voor. In een vervolg blog zal ik ingaan op de resultaten die we gezien hebben bij klanten en hoe we het in NARIS GRC standaard beschikbaar maken.

Ons startpunt is altijd: Wat verwacht je? En van Wie? Maar vooral: Wat is het doel?

In onze ervaring cruciale uitgangspunten bij het bepalen van welk model het best past op je organisatie. Besef daarbij dat de 1e lijn geen expert is in het benoemen van risico’s….. en dit ook niet zal worden. Hetzelfde geldt voor het benoemen, monitoren en testen van controls.

De eerste vraag zegt iets over het feitelijke werk dat je verwacht. Hier komen de verschillende implementatiemodellen in beeld. Afhankelijk van het type bedrijf, cultuur, opleidingsniveau, sector, maatschappelijke impact, aantal externe toezichthouders, mate van toezicht, veiligheidsissues en ambitie moet er bepaald worden wat er geregistreerd moet worden en op welke wijze. Onderstaand geven we de mogelijkheden weer zonder daarin uitputtend te willen zijn.

Uit de tweede vraag leiden we af welke functies betrokken zijn bij het invulling geven aan Governance, Risicomanagement en Compliance. Willen we 1e lijn medewerkers echt betrekken en een rol laten spelen, of alleen de manager, of de businessunit manager? Dit kan ook nog verschillen per thema. Voor risicomanagement kan dit anders liggen dan voor compliance, kwaliteit, procesmanagement, etc.

Het antwoord op deze vraag bepaalt in belangrijke mate de reporting. Immers, de betrokken functies gaan alleen iets registreren als ze er ook inzicht en overzicht voor terugkrijgen. Nut en noodzaak moeten duidelijk zijn. Compliance is een driver maar zeker niet de enige.

Workshop Methode

Dit is van origine de meest gekozen methode. Vanuit de optiek dat zoveel mogelijk draagvlak moet worden gecreëerd en dat dit bereikt wordt door met elkaar te brainstormen over risico’s. Dit is een methode waarmee, mits goed uitgevoerd, veel creativiteit wordt bereikt, het risicobewustzijn wordt verhoogd en dus ook draagvlak. Nuttig en noodzakelijk in organisaties die veel en/of grote unieke projecten doen. Voor het reguliere proces is deze methode op het risico-identificatie proces niet echt nodig. Voor het identificeren en bepalen van de nut en noodzaak van controls kan het wel een aanvulling zijn.

VoordelenNadelen
Creatief procesKost veel tijd
Veel interactie met collega’sKost veel onderhoud
Mogelijkheid tot maatwerkOpenheid in de groep vraagt veel aandacht
Interactie tussen disciplinesHeeft een sterk eenmalig karakter
Groepsstandpunt / draagvlakIndividuele expertise kan ondersneeuwen

Wat verwacht je?

Parate kennis en goede verbale eigenschappen in een open cultuur. Je verwacht dat individuele expertise naar voren komt en dat iedereen elkaar aanvult.

Van wie: van alle workshopdeelnemers. Selectie is daarom cruciaal waarbij het voor het draagvlak altijd belangrijk is geen personen over te slaan. Teveel bias, zowel in samenstelling als iqua onderwerpen, moet je voorzichtig mee zijn. Vreemde ogen dwingen!

Risk Self Assessment Methode

In grotere organisaties of organisaties met veel stakeholders (supply chain, verbonden partijen) een veel gebruikt instrument. Sterker nog, veel van onze nationale toezichthouders gebruiken dit instrument vaak. Wij zijn overtuigd dat een regelmatige Self Assessment veel informatie kan opleveren over trends, wijzigingen en blind spots. Het blijft echter vaak wel aan de oppervlakte hangen en de grote vraag is dan ook of het voldoende inzicht geeft om goede conclusies te trekken? Onze ervaring leert dat het inzicht geeft maar dat daarna nog steeds een risico- en control analyse moet plaatsvinden om echt iets over de kwaliteit en volledigheid te kunnen zeggen.

Veel vragenlijsten worden doorgezet naar medewerkers waardoor je nog niet weet wie met welke expertise de vragen heeft beantwoord. Daarnaast kost het invullen toch ook altijd best veel tijd want zaken moeten wel uitgezocht worden.

VoordelenNadelen
SnelVeelal gericht op risico’s en niet op controls
EenvoudigAfstandelijk
Groot bereikExpertise lastig in te schatten
Tooling eenvoudig in te zettenPushen om informatie te verzamelen
Snelle reportingMultiple interpretabel

Wat verwacht je?

Adequate respons op de gestelde vragen en indien mogelijk een goede onderbouwing. Van de opstellers (veelal de 2e lijn) verwacht je een goede interpretatie van de antwoorden.

Van wie: van de geselecteerde respondenten. De kunst is om de uitvraag heel gericht te houden.

Watermeloen Model

Het Watermeloen model is gericht op de kwaliteit en volledigheid van bekende risico’s en controls. Het is dus veel directiever omdat risico’s en controls worden voorgeschreven door de 2e lijn. De 1e lijn zal moeten aangeven welke risico’s al dan niet van toepassing en zijn. En ook welke controls ‘in place’ zijn. Kijk voor meer informatie op: https://naris.com/nl/incontrol/

VoordelenNadelen
Duidelijke structuur en daardoor RCMVeel voorbereidingstijd 2e lijn
Hogere mate van volledigheidMinder inbreng 1e lijn
Hogere kwaliteitMeer compliance driven
Eenvoudig in gebruik 
Herleidbaar Risk Control Framework 

Wat verwacht je en van wie?

Van de 2e lijn voorbereiding en organisatietalent om key risico’s en controls goed te beschrijven. De 1e lijn zal moeten aangeven welke risico’s en controls van toepassing zijn en in welke mate.

Watermeloen+ Model

Een uitbreiding op het Watermeloen model kan door de 1e lijn nog meer informatie te vragen. Dit met name op de assurance van controls. De 1e lijn moet aangeven of ze de controls ook daadwerkelijk getest hebben en of ze evidence kunnen bijvoegen. Hiermee bereiken we een zo goed als volledige In Control Verklaring met benodigd dossier, opgesteld en verantwoord door de 1e lijn. De 2e lijn vervult een duidelijk rol van adviseur en begeleider. De 3e lijn kan een objectief advies geven over opzet, bestaan en werking.

VoordelenNadelen
Duidelijke structuur en daardoor Risk Control MatrixVeel voorbereidingstijd 2e lijn
Hogere mate van volledigheidMinder inbreng 1e lijn
Hogere kwaliteitMeer compliance driven
Eenvoudig in gebruikBegrip van controltesting nodig in 1e lijn
Herleidbaar Risk Control FrameworkKost tijd om evidence te verzamelen
Volledig dossier voor de accountant 
Duidelijke scheiding van verantwoordelijkheden tussen 1e, 2e en 3e lijn 

Wat verwacht je en van wie?

Van de 2e lijn voorbereiding en organisatietalent om key risico’s en controls goed te beschrijven. De 1e lijn zal moeten aangeven welke risico’s en controls van toepassing zijn en in welke mate. De 1e lijn zal tevens controls moeten testen en evidence kunnen toevoegen. Omdat de 2e lijn de rol van adviseur en begeleider heeft is dit echter geen drempel.

Advertentie


1 reactie

Hoe krijg je tijd voor Key Risks?

Kansen

Risicomanagement wordt as we speak echt op de proef gesteld. Alle aandacht gaat, volkomen terecht, uit naar het Coronavirus. De wereld om ons heen verandert heel snel, iedere dag nieuwe regels / omstandigheden waarmee we direct mee moeten kunnen omgaan. Onze flexibiliteit is nog nooit zo op de proef gesteld en ik weet ook heel zeker dat dit de maatschappij nog veel gaat brengen. Iedereen ervaart nu verplicht hoe eenvoudig het toch is om thuis te werken, niet voor iedere afspraak in de auto te stappen, de continuiteit van dienstverlening te flexibiliseren, etc. De bijkomende gevolgen zijn helemaal niet slecht….. minder CO2 uitstoot, minder geluidsoverlast, etc. Zou dit de push zijn die wij als wereldbevolking nodig hadden? Interesting!

Bedreigingen

Spannend is ook om te zien hoe goed bedrijven hun risicomanagement op orde hebben. Het Coronavirus is een Extern risico in de definitie van Kaplan. We ervaren hoe lastig de beheersing is omdat de beïnvloedbaarheid van het risico zeer laag is. Toch hadden we het in Europe op een gegeven moment zeker kunnen zien aankomen en ook al kunnen leren van de maatregelen die China had genomen, ondanks dat dit nog maar enkele weken oud was!

Waarom is dit zo weinig gebeurd?

Tijd?

Hebben we in onze organisaties voldoende tijd ingebouwd om de strategische en externe risico’s te managen? Risicobewuste organisaties, High Reliability Organizations, nemen in gevaarlijke situaties een TimeOut. Hebben we daar de tijd voor?

In Control

Er zit veel semantiek in de woorden ‘In Control’, ‘Alles onder controle’, ‘Controle’, ‘In Control Statement’, ‘In Control Framework’, etc. Wellicht moet de definitie zijn dat je ‘In Control’ bent op het moment dat er voldoende tijd over is om de echte risico’s te managen.

Afwijkingen verdienen aandacht!

Waarschijnlijk heeft > 80% van de risicoprofielen in organisaties een operationeel karakter. Het is heel menselijk / natuurlijk om juist daar te kijken waar het om de grote getallen gaat. Deze risico’s gaan namelijk ook vaak door onze belangrijkste processen en dus is het ook gebruikelijk dat er veel aandacht aan besteed wordt. Door audit, door de accountants, door de controller en daarmee door bestuur, management en RvC.

Toch zou ik willen adviseren om er op te vertrouwen dat deze risico’s en processen over het algemeen heel goed gemanaged worden door de organisatie. Het is hun Core Business. Aan de randen van de ‘normaal verdeling’ vinden de interessante afwijkingen plaats. Deze afwijkingen (incidenten), in positieve of negatieve zin, zijn de eerste signalen of er ergens iets stagneert. Durf het lef te hebben om minder tijd te besteden aan de controle op operationele risico’s.

En hebben we tijd voor een risicobewuste organisatie voor alle continue veranderingen en bijbehorende soorten risico’s. Lees:

  • Klimaatverandering
  • Cybersecurity
  • TCFD
  • Toeleveranciers
  • Economische teruggang
  • Veranderende wet- en regelgeving
  • Datalekken
  • Beschikbaarheid van kapitaal
  • etc.


1 reactie

De meeste risico’s deugen!

Een verwijzing naar het zeer interessante boek en aanrader ‘De meeste mensen deugen’ van Rutger Bregman. Zou een aantal van zijn conclusies ook toepasbaar zijn op risico’s? Bij voorbaat geef ik aan dat geen van wat ik beweer op enige wetenschappelijk onderbouwing is gebaseerd 😉. Gewoon een blog om de gedachten weer eens de vrije loop te laten.

Rutger Bregman doet in zijn boek een aantal constateringen die je volgens mij ook op het onderwerp risicomanagement zou kunnen loslaten.

  1. Niemand staat ‘s-ochtends op met het idee een ander pijn te doen of schade te veroorzaken
  2. Slecht nieuws krijgt meer aandacht dan goed nieuws terwijl dit laatste er stiekem meer is
  3. Zodra je ergens regels / omheining omheen zet begint het gevecht, als iets gemeenschappelijks is zorg je er ook met elkaar voor
  4. Wie vriendelijk doet, wie goed ontmoet

Ad 1. Te grote risico’s neemt niemand zomaar.

De mens is van nature heel risicobewust. Iedereen op zijn of haar eigen wijze maar niemand zal risico’s nemen waarbij mensen of zaken die men belangrijk vindt in gevaar komen. Dit geldt mijns inziens voor zowel de privésfeer als in de zakelijke omgeving. Zakelijk liggen de consequenties vaak verder weg waardoor men de directe gevolgen wellicht niet altijd scherp heeft maar dit heeft ook te maken met in welke mate men voldoende is opgeleid voor de functie. Als je weet dat door jouw nalaten klanten niet verzekerd zijn zal iedereen er van nature alles aan doen om dit te voorkomen. Soms heeft men onvoldoende kennis om het geheel te overzien maar dit zie ik meer als een afstemmingsvraagstuk. Weet iedereen van elkaar waar en waarom men de dingen doet zoals ze gedaan worden?

Ad 2. De meeste risico’s nemen we goed.

Ik ben er van overtuigd dat >80% (en dat is de voorzichtige schatting) van de risico’s goed gemanaged worden. We hebben het hier alleen niet over. Organisaties hebben (net als Rutger Bregman vaak aangeeft) meer oog voor wat er mis gaat dan voor wat er allemaal goed gaat. Hoeveel zaken gaan er goed bij het bouwen van een huis? Huizen worden tegenwoordig opgeleverd met minder dan 10 opleverpunten. 10 van de hoeveel?? Heel veel!
Natuurlijk moeten we leren van onze fouten en incidenten. Maar we moeten ook vieren wat er goed gaat! Als Naris hebben wij al 2 keer de lancering van ons nieuwe platform uitgesteld. We gaan voor kwaliteit en voor veilig (lees ook het boek: ‘het is oorlog maar niemand die het ziet’ van Huib Modderkolk dan weet je waarom). Tot 2 keer toe opnieuw begonnen, heel veel leergeld betaald door veel mensen. Nu is het zaak dit ook te gebruiken en iedere keer beter te worden. Ik ben ervan overtuigd dat wij met het mooiste en meest integrale pakket op de markt gaan komen maar ben in dit proces ook al een paar keer in de ‘negatieve spiraal’ terecht gekomen. Het is echt moeilijk om de successen te blijven zien omdat de aandacht blijkbaar heel natuurlijk altijd naar de fouten gaat. Dit vraag continue bewustzijn op dit gebied.

Ad3. Te formele organisaties organiseren grote risico’s!

Als organisaties nog klein zijn, zeg start-ups, is alles heel overzichtelijk. Er zijn nog geen formele rollen en verantwoordelijkheden. We kijken met elkaar naar het totaal en iedereen pakt op waar men goed in is. En als iemand anders iets laat vallen staat een ander klaar om het over te nemen of te helpen. Het doel is duidelijk en gemeenschappelijk en er is geen wij tegen zij. Rutger Bregman geeft mooie voorbeelden van organisaties als Buurtzorg, Agora en burgerbegrotingen als in de stad Torres. Allemaal voorbeelden waarbij de verantwoordelijkheid voor de doelen van de organisatie breed worden gevoeld en dus ook gedragen. De risico’s die hierbij horen worden ook breed gezien en gemanaged, met elkaar. Rutger Bregman geeft in zijn boek tal van voorbeelden dat waar meer regels geïntroduceerd worden de schijnveiligheid toeneemt maar de praktijk het tegenovergestelde laat zien. Op de kostscholen worden de meeste gevechten gevoerd, in strenge gevangenissen zijn de meeste geweldsincidenten, in de strengste politiestaten zien we de meeste misdadigers, juist omdat we ertoe gedwongen worden om daar naar te kijken! Hier gaat het alleen nog maar om incidenten te zien en op iedere afwijking van de regel te handhaven

In organisaties die sterk rule driven zijn zullen we dus ook meer overtredingen / incidenten vinden. Als we van elkaar weten dat we worden aangesproken (laat ik het woord afrekenen niet gebruiken) op de hoeveelheid incidenten die we veroorzaken zullen we er alles aan doen om dit te voorkomen. In lijn met wat Rutger Bregman heeft geconstateerd in de politiestaat New York gaan we dus incidenten niet melden, onder het tapijt vegen, anderen de schuld geven, etc.

Hiermee organiseren we dus onze eigen risico’s!

Ad 4. Open en transparant leidt tot meer begrip

Voor zover ik het kan beoordelen (alleen op basis van de meer dan 200 gesprekken die ik jaarlijks heb met klanten en potentiële opdrachtgevers) worden we steeds transparanter in het delen van risicoprofielen. Door schade en schande wellicht (zeesluis IJmuiden bijvoorbeeld) komen we er achter dat hele risicovolle projecten nu eenmaal niet bij 1 partij kunnen liggen. Aan de andere kant ontstaan er uit risicovolle projecten ook weer vaak nieuwe innovaties. Als we aan de risicokant delen, dan ook aan de opbrengsten kant toch? Wellicht dat we hier nog wat stappen in moeten zetten om ook dit soort winsten nu en in de toekomst met elkaar te delen. De beste samenwerkingen zijn toch die waar je samen wint maar ook samen verliest. Een bedrijfsmodel dat alleen op risicovolle projecten is gestoeld is in mijn ogen gedoemd te mislukken. Er moet ook altijd een basis in de bedrijfsvoering zijn waar je altijd op terug kunt vallen omdat je er gewoon goed in bent en dus geld kunt verdienen. Door je kennis en expertise zijn de risico’s overzichtelijk.

Volledig in Control?

Op basis van bovenstaande moet je dat misschien meer voelen en ervaren dan afdwingen. De meeste Strategische risicoprofielen die ik ken gaan maximaal 20% over nieuwe keuzes en de overige 80% over de zaken beter doen of met een andere focus dan we al deden. Des te belangrijker om ervoor te zorgen dat de aansluiting tussen de operationele risico’s en de strategische keuzes zichtbaar is. Sturen op de belangrijkste risico’s is in 80% van de gevallen sturen op heel veel zaken die al goed gaan en waarvan we ons willen verzekeren dat dit goed blijft gaan 😉

We zouden ook de discussie aan kunnen gaan of het 3-lines of defence model nog wel zoveel toekomst heeft. Of zouden we gewoon de toon kunnen veranderen? Wij zijn laatst geaudit voor ISO27002. Als relatief kleine organisatie is dit een mooie uitdaging waarbij we erg afhankelijk zijn van onze mensen. Verloop heeft direct impact. We hadden 2 hele scherpe maar ook vriendelijke auditors die je af en toe ook gewoon op de goede weg zetten. Vriendelijkheid en hulpvaardigheid zijn de belangrijkste motivators om met veel enthousiasme de laatste puntjes op de bekende i te zetten.

Vriendelijkheid kan ook zijn om het de mensen op de werkvloer, aan het bed, achter het bureau zo makkelijk mogelijk te maken. Wie heeft er geleerd om in risico’s te denken? Niemand dus en daar staan zij ook echt niet mee op….. Toch willen we wel een uitspraak van ze. Standaardiseren en simpel houden zijn cruciaal om toch informatie te krijgen zodat je hen door middel van nieuwe inzichten en kennisdeling verder kunt helpen.

Vriendelijkheid is de taal die iedereen ziet en kan horen!