Erik van Marle – Blog over risicomanagement

www.naris.com


Een reactie plaatsen

Het verschil in risicomanagement bij een private en publieke organisatie!

publiek privaat

Regelmatig wordt deze vraag gesteld en iedere keer wordt er weer gegraven in mijn gestolde kennis (ervaring). Een paar overwegingen die ik met jullie wil delen zonder daar overigens nu al volledig in te willen zijn.

Publieke organisaties zijn veel meer gewend om (risico) verantwoording af te leggen over hun reilen en zeilen dan private organisaties. Waar private organisaties dit pas zijn gaan doen na de invoering van de Code Tabaksblat zit dit van oudsher al veel meer in het natuur van de publieke organisaties. Deze laatsten hebben altijd moeten functioneren met belangrijke stakeholders als gemeenten, zorgpartijen, woningcorporaties die allemaal in hetzelfde speelveld een rol hebben. In deze consternatie is verantwoording een vanzelfsprekendheid. Voor private partijen bleek de code Tabaksblat een struggle. ‘Pas toe of leg uit’ werd in het begin op verschillende wijze uitgelegd.

Private organisaties hebben de laatste jaren een flinke inhaalslag gemaakt. Daar waar veel publieke organisaties blijven hangen in de klassieke risicoparagraaf leggen private organisaties veel sterker de link tussen de performance en de daarbij behorende risico’s. In hun zogenaamde ‘sustainability reports’ gaat het erover hoe duurzaam hun strategie is en welke keuzen ze hierin gemaakt hebben. Qua risicomanagement gaat hun uitleg over hoe ze het hebben georganiseerd. Vanzelfsprekend gaan ze niet in op de risico’s en kansen die ze zien, dit is immers concurrentiegevoelige informatie. Publieke organisaties hebben ook te maken met deze gevoelige informatie maar voelen zich wel vaak verplicht deze risico’s te benoemen. Wat mij betreft niet noodzakelijk. Als stakeholder zou ik liever lezen hoe ze er voor zorgen dat de organisatie te allen tijde alert blijft!

Fraude (Imtech bijvoorbeeld) buiten beschouwing gelaten valt mij ook op dat in private organisaties risico’s veel sneller op tafel komen. Uit de vele gesprekken die ik hierover voer valt mij op dat dit hoofdzakelijk komt doordat risico’s veel sneller voor de betrokkenen relevant worden. Ze voelen veel sneller zelf de gevolgen doordat het rechtstreeks invloed heeft op resultaten. Dit in tegenstelling bij publieke organisaties. De gevolgen van risico’s worden minder persoonlijk gevoeld en doordat publieke organisaties vaak met meerjarige begrotingen werken vallen de (financiële)gevolgen vaak weg in het totaal.

Deze laatste hobbel is de grootste uitdaging. We raken hier immer de cultuur van de organisatie. Het management van een publieke organisatie zal dus veel meer moeite moeten doen om risico’s positief bespreekbaar te krijgen. De juiste vragen stellen is cruciaal.

Welke vragen stelt u?

Advertenties


3 reacties

Nooit meer strategiepijn!

Wat ga je doen als de strategieconsultant geweest is? Het koersplan is geschreven, doelstellingen zijn bepaald, waar wat dan. Wat vaak vergeten wordt, is de strategie concreet maken. Maak het operationeel voor de werkvloer, zodat de hele organisatie in de richting komt van waar de organisatie naartoe wil.

Dia1

Centraal in de taak van het management staat strategie(realisatie). De strategiekaart vormt de ontbrekende schakel tussen de formulering en uitvoering van strategie. Met de strategiekaart wordt risicomanagement voor bestuurders ook interessant. De strategiekaart vormt de basis voor de interne agenda en vraagt frequente aandacht van het management.

Door de dialoog over risico`s en prestaties gaande te houden wordt risicomanagement het proactieve en anticiperende stuurinstrument waar het voor bedoeld is. Het is een katalysator voor actiegerichtheid op de continue uitdagingen.

Veel gehoorde reactie van MT`s is dat het construeren van de strategiekaart net zo waardevol is als de kaart zelf. Maar het proces is niet eenvoudig. Het construeren zorgt voor discipline en logica in de strategische besluitvorming dat daarvoor veelal niet aanwezig was. Het eindresultaat is een basis voor interne en externe communicatie over doelstellingen en strategie. MT`s kunnen met de strategiekaart goed uitleggen waarom bepaalde zaken wel en andere niet worden ondernomen. Daar draait het om bij strategie, keuzes maken in de belangrijkste activiteiten die goed te onderbouwen zijn.

Strategie gaat om het selecteren van de activiteiten waarin de organisatie dient uit te blinken. De zogenaamde kritieke succesfactoren. Centraal bij het benoemen van kritieke succesfactoren (KSF) staat gegranuleerdheid. Dat betekent verder gaan dan algemeenheden als `onze medewerkers ontwikkelen` of `onze kernwaarden naleven` en focussen op de specifieke mogelijkheden en kenmerken die essentieel zijn voor het succes van de organisatie.

Vanuit de organisatie / de afdelingen dienen initiatieven te worden benoemd welke ondernomen worden om invulling te geven aan de KSF. Deze initiatieven leiden tot resultaten. Dat betekent dat uitvoering van strategie wordt gemanaged door de uitvoering van initiatieven.

De strategiekaart biedt het visuele kader om de doelstellingen van een organisatie in te integreren.

Meer over ‘nooit meer strategiepijn’ is te lezen in dit mooie boek!


Een reactie plaatsen

Risicomanagement draait om discipline en mentaliteit!

Vele organisaties geven hoog op over hun risicomanagement. Systemen zijn ingericht, mensen worden getraind op kennis en vaardigheden, het is onderdeel van de Planning en Control Cyclus, jaarlijks worden risicoanalyse gehouden, etc. We kennen allemaal het COSO model, de ISO 31000 norm, MOR wellicht ook nog. Aan alle vereisten wordt voldaan. Toch? geloof-in-eigen-kunnen

En we twijfelen allemaal of al deze inspanningen voldoende zijn. En bij twijfel gaan we nog meer doen / inrichten /rapporteren.

Waar draait het naar mijn mening echt om?

Discipline
Welke organisaties hebben de discipline risicobewust te handelen. Bij iedere beslissing de afweging te maken of de risico’s opwegen tegen de kansen. Staan ze in verhouding tot elkaar? Welke organisatie heeft de toewijding, het commitment om deze risicoafweging echt onderdeel uit te laten maken van iedere besluitvorming. En niet te wachten tot de volgde P&C Cyclus.

Mentaliteit
Om de discipline op te kunnen brengen is de juiste mentaliteit nodig. Risicoalertheid ontstaat als het onderdeel wordt van het denk- en gedragspatroon van de organisatie. Alleen dan bereik je dat we elkaar durven aan te spreken en erop te attenderen dat risicoalert handelen ons successen brengt. Deze mentaliteit maakt organisaties succesvol.

Systemen zijn op te zetten en te omzeilen, af te vinken. Kennis is te trainen en te vergeten. Vaardigheden zijn aan te leren en weer te vergeten. Als Mentaliteit en Discipline onderdeel zijn van het gedachtegoed van een organisatie valt er niet aan te ontkomen. Je bent onderdeel van de organisatie en anders past het niet! Rollen, verantwoordelijkheden en bevoegdheden zijn duidelijk en bespreekbaar op ieder moment.

En daarom, risicomanagement valt alleen als organisatie in z’n totaliteit te implementeren en niet ergens te beginnen en te hopen dat het overwaait.


Een reactie plaatsen

Toezichthouder moet de schaamte voorbij!

Gisteren was een mooie dag in de eerste kamer. De presentatie van het boek Waar is de Raad van Toezicht deel III wat onder leiding van Goos MInderman tot stand is gekomen. Ik licht even de reactie van Edith Hooge van de Universiteit van Tilburg eruit. moreel kompas

Deze verklaring van ambitieus toezicht komt als geroepen. De afgelopen vijftien jaar zijn we met name bezig geweest met de harde kant van de governance codes, het is hoog tijd dat we elkaar gaan aanspreken. Het morele kompas van bestuurders en toezichthouders moet weer geijkt worden!

Edith gaf aan dat dit moeilijk is. Het is bijna tegen natuurlijk gedrag van mensen wat geëist wordt. Mensen hebben namelijk de volgende eigenschappen:

  • Zelfoverschatting; hoe hoger we zijn opgeleid hoe beter we onszelf vinden. Dan kan het toch niet zo zijn dat we zaken in een RvC vergadering niet begrijpen? We stellen dan ook maar geen vragen.
  • Goed praten; niemand vind het prettig om fouten toe te geven. Het is vaak zo dat we juist meer risico gaan nemen op het moment dat we fouten hebben gemaakt. We zijn er goed in om slecht nieuws verzachtend te brengen. De echte feiten komen vaak niet op tafel!
  • Schaamte; we schamen ons voor wat we niet weten, wat we niet begrijpen of om ons onderbuikgevoel uit te spreken. Want als we het mis hebben voelt dit als een verlies waarvoor we ons schamen.
  • Angst voor reputatie; afhankelijk van je reputatie wordt je gevraagd voor andere mooie uitdagingen. Wij maken altijd de afweging wat een bepaalde stellingname betekent voor de rest van je carrière.
  • Conflictvermijding; wij houden niet van conflicten want in de volgende vergadering moeten we ook weer met elkaar door. Hoe vaak worden omwille van de sfeer zaken niet gezegd of uitgesproken?
  • Niet buiten de groep willen vallen; Als RvC lid maak je onderdeel uit van de groep. Te vaak het niet eens zijn met de groep maakt dat we er buiten kunnen vallen. Dit willen wij mensen altijd proberen te voorkomen.

Toezichthouders zijn en blijven mensen en we zullen met elkaar dan ook rekening moeten houden met onder andere de bovenstaande gedragskenmerken. Een ambitieuze toezichthouder heeft hier oog voor en maakt deze bovenstaande zaken bespreekbaar voordat de eerste lastige situaties zich voordoen.

De wil is er, nu moeten we het gaan doen!


Een reactie plaatsen

Core business is geen risico!

Ondernemen is risico nemen! Hoe beter men de risico’s begrijpt, hoe meer risico men kan nemen. Anders gezegd; de risico’s waar men verstand van heeft beheerst men van nature beter.Corebusiness

De voorbeelden spreken voor zich. SNS Reaal had onvoldoende verstand van vastgoed, Woonbron niet van schepen, de woekerpolis van de banken, verliezen van gemeenten op grondposities, etc.

In tijden van hoog conjunctuur verschaft de financiële ruimte de geestelijke vrijheid aan veel bestuurders om te denken dat iedereen kan ondernemen. Het is ook veel sexier om door middel van nieuwe innovaties, initiatieven te laten zien dat het goed gaat met het bedrijf. In dit soort tijden groeit het aantal activiteiten van bedrijven snel. Echter, nieuwe initiatieven kosten naast geld ook veel aandacht. Hierdoor verliest men aandacht voor de CORE BUSINESS en zit men minder dicht op de bal en ontstaan de risico’s. In de huidige tijd krimpen organisaties in en gaat iedereen terug naar CORE.

Lessons Learned:

  • Zorg dat nieuwe initiatieven altijd in gezonde verhouding staan tot het rendement op core business
  • Kennis van zaken is cruciaal
  • Behoud voldoende aandacht voor business as usual
  • bedrijfsvreemde activiteiten vragen om een gezonde risicohouding, organiseer bewust tegenkracht!

 

 


Een reactie plaatsen

Gedrag als voorspeller van toekomstige incidenten

 

Churchill

De incidenten van de afgelopen jaren (SNS Reaal, Ahold, DSB, Vestia, Rochdale, etc) hebben ons wel geleerd dat het gedrag van bestuurders zeer bepalend kan zijn voor de koers van de organisatie. De vraag is natuurlijk of die ene persoon zo bepalend kan zijn dat dit een hele organisatie in gevaar kan brengen.

Het gaat daarom niet alleen om leiderschap, het gaat ook om de groepsdynamiek die er in de lagen eronder plaatsvinden. Hoe komt besluitvorming tot stand, welke formele lijnen zijn er en welke informele lijnen. Worden alle risico’s besproken of wordt alles gesimplificeerd waardoor het cruciale gesprek niet plaatsvindt?

Als leider / bestuurder is het dus belangrijk om de juiste vragen te stellen. Wanneer de zaken goed maar zeker ook wanneer zich incidenten voordoen. De vragen die Churchill zichzelf altijd stelde waren:

  • Waarom wist ik het niet?
  • Waarom wisten mijn adviseurs het niet?
  • Waarom werd het me niet verteld?
  • Waarom heb ik er niet naar gevraagd?

Dat wat je niet weet, daar kun je ook niet naar vragen! Een diversiteit in het managementteam helpt om vanuit verschillende brillen naar de zaken te kijken. Dit legt alleen ook een grote verantwoordelijkheid in deze lagen. Wat zijn de noodzakelijke elementen wil er een gezonde bedrijfscultuur heersen dat er een gezamenlijke alertheid ontstaat om de complexiteit het hoofd te bieden?

  • Iedereen alert op verstoringen
  • Voorkom teveel simplificeren (niet alles past op een half A4 tje)
  • Secuur op de uitvoering (de machinekamer is niet zo belangrijk als de strategie)
  • Scherp op aanpassingsvermogen (wat gaat er nog zoals gepland)
  • Respect voor expertise (experts mogen zich niet laten overrulen)

Stel uzelf de vraag: wat is het aanpassingsvermogen van onze organisatie?


1 reactie

SNS Reaal Property Finance was altijd afwezig op de Risicomanagement vergaderingen

In de toelichting op het persbericht van SNS Reaal stond precies 1 zin over risico’s!

Er zal een apart comité voor risicomanagement voor het nieuwe SNS Property Finance worden ingesteld met daarin twee leden van de Raad van Bestuur van SNS REAAL en externe deskundigen.

Verder blijft het management van BPF in takt zodat het zichzelf verder kan ontwikkelen maar ……. het gaat wel worden aangestuurd conform de kaders van SNS Reaal.

Behoorlijke tegenstrijdigheden als je bedenkt:

  • Er is gebleken dat er 3 mensen zaten op risicomanagement en die bovendien niet serieus genomen werden
  • Property Finance nooit op de risicomanagement vergaderingen verscheen
  • Bankiers alleen maar meer beloond werden voor de risico’s die ze namen
  • De CEO alleen maar Durf beloonde
  • etc

Deze beloften zijn in ieder geval niet in ingelost!

Terwijl de risico’s overduidelijk waren:

  • Binnen 2 maanden nadat ze geld hadden opgehaald kochten ze Bouwfonds Property Finance, een klassieker! (geld brandt)
  • SNS Reaal had geen buitenland ervaring terwijl 30% van de portefeuille dit wel was
  • Ze kochten een portefeuille waar posten in zaten die factor 100 waren die de SNS Reaal mensen gewend waren
  • Het is naïef te denken dat hoge rendementen zonder risico’s zijn!

Ik vraag me af:

  • Hoe Risicointelligent was SNS Reaal; niet volgens mij. De leiding voelde niet de gevolgen van hun beslissingen. Dit zijn per definitie gevaarlijke figuren (lees RQ)
  • Welke tegenkrachten waren? Geen, niet van de mededirectieleden en niet van de RvC
  • Welke verkopende partij doet dit voor een prijs zodat de investering direct winstgevend is? Een normale minimale terugverdientijd is 3 jaar. Het persbericht doet anders geloven.

Wat kunnen we er van leren:

  • Loop als bedrijf niet achter de meute aan. Hanteer je eigen strategie! Laten we wel zijn: iedere bank heeft nu hetzelfde probleem, ze zitten allemaal met een vastgoedportefeuille waarop ze flink moeten afschrijven. Dit doel veel pijn en daarom doet met dit maar zeer summier. De grote klap komt nog voor. Mede daarom willen ING, Rabo en ABN SNS graag in de lucht houden
  • Bij een goede en evenwichtige risicospreiding is het altijd mogelijk dat er een of enkele onderdelen de verwachtingen niet waarmaken
  • Creëer tegenkrachten! Dit is het meest lastige maar wel noodzakelijk. Duidelijke kaders vooraf opstellen welke risico’s wel en niet acceptabel zijn. Investeringen waarvan je geen verstand hebt is altijd een No-Go. Kijk maar naar Ahold en Unilever, etc. Er zijn genoeg partijen geweest waarvan men kon leren

Achteraf praten is makkelijk

Natuurlijk is het met de feiten voor je eenvoudiger analyseren. De kracht van Risicomanagement is wel dat je dit ook vooraf doet. Hiervoor moet je mensen de gelegenheid geven en hun expertise respecteren. Dit vraagt een open cultuur die gewend is om naar elkaar te luisteren om zo de juiste beslissing te kunnen nemen. Dit vraagt respect voor elkaar rollen, voor zowel de CEO als de Riskmanager.