Erik van Marle – Blog over risicomanagement

www.naris.com

Tagarchief: implementatie


door 1 reactie

Het Coronavirus als Extern Risico beschouwd

Ik hoop dat iedereen beseft hoe moeilijk het is om als overheid een afweging te maken in de huidige situatie rondom het Coronavirus. Het is echt niet het moment om op zoek te gaan naar fouten van de beslissers!

De waarde van Experts

En laten we ons alsjeblieft niet gek laten maken! Tetlock (2005) onderzocht over een periode van twintig jaar tienduizenden voorspellingen van honderden experts. Hij beoordeelde hoe goed ze waren in het schatten van waarschijnlijkheden en of ze in staat waren specifieke uitkomsten te voorspellen. De uitkomsten waren ronduit onthutsend maar bevestigen de conclusies van een groot aantal andere studies: de gemiddelde expert deed het niet veel beter dan een “dart-throwing chimp” die altijd op het statistisch gemiddelde uitkomt. Hoe gespecialiseerder en beroemder experts waren, hoe slechter ze bovendien bleken te presteren.

Specialisatie vernauwt het blikveld en vergroot de kans op het vinden van meer bewijs en gelijkgestemden om bestaande overtuigingen en gedane voorspellingen te bevestigen. Experts vallen niet alleen ten prooi aan dezelfde cognitieve biases als ieder ander, ze blijken door het koesteren van hun bekendheid en reputatie nog gevoeliger voor het maken van verkeerde inschattingen. Als experts eenmaal in boeken, presentaties en interviews een stelling hebben ingenomen, geven ze die niet snel op. Dezelfde media verleiden hen tegelijkertijd om bijzondere, afwijkende posities in te nemen om hun aantrekkingskracht en entertainmentwaarde voor toekomstige optredens te vergroten. (Bron artikel over externe risico’s in het maandblad voor accountancy en bedrijfseconomie, juli 2018, door Bood en Postma).

Risicomanagement

Als we naar de theorie van Risicomanagement kijken geeft dit namelijk al best duidelijke richtlijnen voor de aanpak van Externe risico’s. Als je ziet waar WEF (World Economic Forum) Infectioen diseases plaatst is dit in het quadrant Hoge Impact / Lage Kans.

Global Risk Report World Economic Forum

Beheersing

Kenmerkend voor de risico’s in dit quadrant is dat de beïnvloedbaarheid heel laag is. COSO geeft al aan dat dit soort risico’s allen geaccepteerd kunnen worden als de impact klein is, anders mitigeren of continuïteitsplannen klaar hebben liggen. De voor de hand liggende beheersing is om je te focussen op het inperken van de gevolgen. De oorzaak ligt immers buiten je invloedssfeer. Volledig in lijn met wat er nu met het Coronavirus aan de hand is.

Het ‘normale proces’ in het geval van Externe risico’s:

  • Bepaal in welke mate ze de bedrijfsvoering kunnen beïnvloeden;
  • Doordenk de verschillende scenario’s; worst / normal / best case;
  • Zorg dat er plannen (op hoofdlijnen is voldoende) klaarliggen om een eerste respons te kunnen geven. Over het algemeen bewegen dit soort risico’s zich langzaam en is er dus tijd om je voor te bereiden. Dit was ook zo bij het Coronavirus voor Europa;
  • Zorg dat er een vooraf doordachte lijst met mogelijke gevolgen klaar ligt;
  • Bedenk hoe de verschillende gevolgen beperkt kunnen worden;
  • Realiseer je dat bij dit soort risico’s maatregelen eigenlijk nooit rigide genoeg kunnen zijn. Watkins en Bazerman (2003) en Kaplan en Mikes (20120 gaven al aan dat et belangrijk is om hier het voorstellingsvermogen wat op te rekken.

Een aantal andere voorbeelden waaruit al blijkt dat we niet ver genoeg kunnen gaan in het bedenken / toepassen van maatregelen:

In geval van een brand wordt er meteen worst case gedacht en direct al het personeel geëvacueerd, direct naastgelegen gebouwen natgehouden, etc.

De recente cyber attacks hebben geleerd dat het alleen helpt als je alles platlegt en van daaruit opnieuw begint met opbouwen.

De terroristische aanslagen leren ons dat alleen volledige opschaling resultaat oplevert. Het heeft geen zin om stapsgewijs een gebied af te sluiten of mondjesmaat de hulpdiensten in te schakelen.

Ik ben heel blij dat we nu alles afsluiten en zo de verspreiding hopelijk kunnen tegengaan. Het openbaar vervoer ook nog? We hebben gewoon de kennis nog niet over hoe dit virus zich verspreidt en welke impact het heeft op levens. De enige manier om verspreiding tegen te gaan is het stopzetten van vervoer / contacten tussen personen.

Een mooi voorbeeld vind ik ook de maatregel uit de UK om de meest risicovolle groep van 70+ers echt thuis in quarantaine te zetten de komende 4 weken zodat de ziekenhuizen beschikbaar blijven voor de anderen. Zo zorg je ervoor dat de vitale ziekenhuis infrastructuur voor kan blijven functioneren!

Wens

Ik hoop vurig dat we deze crisis aangrijpen om van te leren zodat wij een volgende keer dit soort risico’s nog sneller onder controle zullen hebben. Zou het ons lukken om niet weer te verzanden in de eeuwige Schuldvraag? Media help eens!


door Een reactie plaatsen

Het verschil in risicomanagement bij een private en publieke organisatie!

publiek privaat

Regelmatig wordt deze vraag gesteld en iedere keer wordt er weer gegraven in mijn gestolde kennis (ervaring). Een paar overwegingen die ik met jullie wil delen zonder daar overigens nu al volledig in te willen zijn.

Publieke organisaties zijn veel meer gewend om (risico) verantwoording af te leggen over hun reilen en zeilen dan private organisaties. Waar private organisaties dit pas zijn gaan doen na de invoering van de Code Tabaksblat zit dit van oudsher al veel meer in het natuur van de publieke organisaties. Deze laatsten hebben altijd moeten functioneren met belangrijke stakeholders als gemeenten, zorgpartijen, woningcorporaties die allemaal in hetzelfde speelveld een rol hebben. In deze consternatie is verantwoording een vanzelfsprekendheid. Voor private partijen bleek de code Tabaksblat een struggle. ‘Pas toe of leg uit’ werd in het begin op verschillende wijze uitgelegd.

Private organisaties hebben de laatste jaren een flinke inhaalslag gemaakt. Daar waar veel publieke organisaties blijven hangen in de klassieke risicoparagraaf leggen private organisaties veel sterker de link tussen de performance en de daarbij behorende risico’s. In hun zogenaamde ‘sustainability reports’ gaat het erover hoe duurzaam hun strategie is en welke keuzen ze hierin gemaakt hebben. Qua risicomanagement gaat hun uitleg over hoe ze het hebben georganiseerd. Vanzelfsprekend gaan ze niet in op de risico’s en kansen die ze zien, dit is immers concurrentiegevoelige informatie. Publieke organisaties hebben ook te maken met deze gevoelige informatie maar voelen zich wel vaak verplicht deze risico’s te benoemen. Wat mij betreft niet noodzakelijk. Als stakeholder zou ik liever lezen hoe ze er voor zorgen dat de organisatie te allen tijde alert blijft!

Fraude (Imtech bijvoorbeeld) buiten beschouwing gelaten valt mij ook op dat in private organisaties risico’s veel sneller op tafel komen. Uit de vele gesprekken die ik hierover voer valt mij op dat dit hoofdzakelijk komt doordat risico’s veel sneller voor de betrokkenen relevant worden. Ze voelen veel sneller zelf de gevolgen doordat het rechtstreeks invloed heeft op resultaten. Dit in tegenstelling bij publieke organisaties. De gevolgen van risico’s worden minder persoonlijk gevoeld en doordat publieke organisaties vaak met meerjarige begrotingen werken vallen de (financiële)gevolgen vaak weg in het totaal.

Deze laatste hobbel is de grootste uitdaging. We raken hier immer de cultuur van de organisatie. Het management van een publieke organisatie zal dus veel meer moeite moeten doen om risico’s positief bespreekbaar te krijgen. De juiste vragen stellen is cruciaal.

Welke vragen stelt u?


door 3 reacties

Nooit meer strategiepijn!

Wat ga je doen als de strategieconsultant geweest is? Het koersplan is geschreven, doelstellingen zijn bepaald, waar wat dan. Wat vaak vergeten wordt, is de strategie concreet maken. Maak het operationeel voor de werkvloer, zodat de hele organisatie in de richting komt van waar de organisatie naartoe wil.

Dia1

Centraal in de taak van het management staat strategie(realisatie). De strategiekaart vormt de ontbrekende schakel tussen de formulering en uitvoering van strategie. Met de strategiekaart wordt risicomanagement voor bestuurders ook interessant. De strategiekaart vormt de basis voor de interne agenda en vraagt frequente aandacht van het management.

Door de dialoog over risico`s en prestaties gaande te houden wordt risicomanagement het proactieve en anticiperende stuurinstrument waar het voor bedoeld is. Het is een katalysator voor actiegerichtheid op de continue uitdagingen.

Veel gehoorde reactie van MT`s is dat het construeren van de strategiekaart net zo waardevol is als de kaart zelf. Maar het proces is niet eenvoudig. Het construeren zorgt voor discipline en logica in de strategische besluitvorming dat daarvoor veelal niet aanwezig was. Het eindresultaat is een basis voor interne en externe communicatie over doelstellingen en strategie. MT`s kunnen met de strategiekaart goed uitleggen waarom bepaalde zaken wel en andere niet worden ondernomen. Daar draait het om bij strategie, keuzes maken in de belangrijkste activiteiten die goed te onderbouwen zijn.

Strategie gaat om het selecteren van de activiteiten waarin de organisatie dient uit te blinken. De zogenaamde kritieke succesfactoren. Centraal bij het benoemen van kritieke succesfactoren (KSF) staat gegranuleerdheid. Dat betekent verder gaan dan algemeenheden als `onze medewerkers ontwikkelen` of `onze kernwaarden naleven` en focussen op de specifieke mogelijkheden en kenmerken die essentieel zijn voor het succes van de organisatie.

Vanuit de organisatie / de afdelingen dienen initiatieven te worden benoemd welke ondernomen worden om invulling te geven aan de KSF. Deze initiatieven leiden tot resultaten. Dat betekent dat uitvoering van strategie wordt gemanaged door de uitvoering van initiatieven.

De strategiekaart biedt het visuele kader om de doelstellingen van een organisatie in te integreren.

Meer over ‘nooit meer strategiepijn’ is te lezen in dit mooie boek!


door Een reactie plaatsen

Risicomanagement draait om discipline en mentaliteit!

Vele organisaties geven hoog op over hun risicomanagement. Systemen zijn ingericht, mensen worden getraind op kennis en vaardigheden, het is onderdeel van de Planning en Control Cyclus, jaarlijks worden risicoanalyse gehouden, etc. We kennen allemaal het COSO model, de ISO 31000 norm, MOR wellicht ook nog. Aan alle vereisten wordt voldaan. Toch? geloof-in-eigen-kunnen

En we twijfelen allemaal of al deze inspanningen voldoende zijn. En bij twijfel gaan we nog meer doen / inrichten /rapporteren.

Waar draait het naar mijn mening echt om?

Discipline
Welke organisaties hebben de discipline risicobewust te handelen. Bij iedere beslissing de afweging te maken of de risico’s opwegen tegen de kansen. Staan ze in verhouding tot elkaar? Welke organisatie heeft de toewijding, het commitment om deze risicoafweging echt onderdeel uit te laten maken van iedere besluitvorming. En niet te wachten tot de volgde P&C Cyclus.

Mentaliteit
Om de discipline op te kunnen brengen is de juiste mentaliteit nodig. Risicoalertheid ontstaat als het onderdeel wordt van het denk- en gedragspatroon van de organisatie. Alleen dan bereik je dat we elkaar durven aan te spreken en erop te attenderen dat risicoalert handelen ons successen brengt. Deze mentaliteit maakt organisaties succesvol.

Systemen zijn op te zetten en te omzeilen, af te vinken. Kennis is te trainen en te vergeten. Vaardigheden zijn aan te leren en weer te vergeten. Als Mentaliteit en Discipline onderdeel zijn van het gedachtegoed van een organisatie valt er niet aan te ontkomen. Je bent onderdeel van de organisatie en anders past het niet! Rollen, verantwoordelijkheden en bevoegdheden zijn duidelijk en bespreekbaar op ieder moment.

En daarom, risicomanagement valt alleen als organisatie in z’n totaliteit te implementeren en niet ergens te beginnen en te hopen dat het overwaait.


door Een reactie plaatsen

Toezichthouder moet de schaamte voorbij!

Gisteren was een mooie dag in de eerste kamer. De presentatie van het boek Waar is de Raad van Toezicht deel III wat onder leiding van Goos MInderman tot stand is gekomen. Ik licht even de reactie van Edith Hooge van de Universiteit van Tilburg eruit. moreel kompas

Deze verklaring van ambitieus toezicht komt als geroepen. De afgelopen vijftien jaar zijn we met name bezig geweest met de harde kant van de governance codes, het is hoog tijd dat we elkaar gaan aanspreken. Het morele kompas van bestuurders en toezichthouders moet weer geijkt worden!

Edith gaf aan dat dit moeilijk is. Het is bijna tegen natuurlijk gedrag van mensen wat geëist wordt. Mensen hebben namelijk de volgende eigenschappen:

  • Zelfoverschatting; hoe hoger we zijn opgeleid hoe beter we onszelf vinden. Dan kan het toch niet zo zijn dat we zaken in een RvC vergadering niet begrijpen? We stellen dan ook maar geen vragen.
  • Goed praten; niemand vind het prettig om fouten toe te geven. Het is vaak zo dat we juist meer risico gaan nemen op het moment dat we fouten hebben gemaakt. We zijn er goed in om slecht nieuws verzachtend te brengen. De echte feiten komen vaak niet op tafel!
  • Schaamte; we schamen ons voor wat we niet weten, wat we niet begrijpen of om ons onderbuikgevoel uit te spreken. Want als we het mis hebben voelt dit als een verlies waarvoor we ons schamen.
  • Angst voor reputatie; afhankelijk van je reputatie wordt je gevraagd voor andere mooie uitdagingen. Wij maken altijd de afweging wat een bepaalde stellingname betekent voor de rest van je carrière.
  • Conflictvermijding; wij houden niet van conflicten want in de volgende vergadering moeten we ook weer met elkaar door. Hoe vaak worden omwille van de sfeer zaken niet gezegd of uitgesproken?
  • Niet buiten de groep willen vallen; Als RvC lid maak je onderdeel uit van de groep. Te vaak het niet eens zijn met de groep maakt dat we er buiten kunnen vallen. Dit willen wij mensen altijd proberen te voorkomen.

Toezichthouders zijn en blijven mensen en we zullen met elkaar dan ook rekening moeten houden met onder andere de bovenstaande gedragskenmerken. Een ambitieuze toezichthouder heeft hier oog voor en maakt deze bovenstaande zaken bespreekbaar voordat de eerste lastige situaties zich voordoen.

De wil is er, nu moeten we het gaan doen!


door Een reactie plaatsen

Core business is geen risico!

Ondernemen is risico nemen! Hoe beter men de risico’s begrijpt, hoe meer risico men kan nemen. Anders gezegd; de risico’s waar men verstand van heeft beheerst men van nature beter.Corebusiness

De voorbeelden spreken voor zich. SNS Reaal had onvoldoende verstand van vastgoed, Woonbron niet van schepen, de woekerpolis van de banken, verliezen van gemeenten op grondposities, etc.

In tijden van hoog conjunctuur verschaft de financiële ruimte de geestelijke vrijheid aan veel bestuurders om te denken dat iedereen kan ondernemen. Het is ook veel sexier om door middel van nieuwe innovaties, initiatieven te laten zien dat het goed gaat met het bedrijf. In dit soort tijden groeit het aantal activiteiten van bedrijven snel. Echter, nieuwe initiatieven kosten naast geld ook veel aandacht. Hierdoor verliest men aandacht voor de CORE BUSINESS en zit men minder dicht op de bal en ontstaan de risico’s. In de huidige tijd krimpen organisaties in en gaat iedereen terug naar CORE.

Lessons Learned:

  • Zorg dat nieuwe initiatieven altijd in gezonde verhouding staan tot het rendement op core business
  • Kennis van zaken is cruciaal
  • Behoud voldoende aandacht voor business as usual
  • bedrijfsvreemde activiteiten vragen om een gezonde risicohouding, organiseer bewust tegenkracht!

 

 


door Een reactie plaatsen

Gedrag als voorspeller van toekomstige incidenten

 

Churchill

De incidenten van de afgelopen jaren (SNS Reaal, Ahold, DSB, Vestia, Rochdale, etc) hebben ons wel geleerd dat het gedrag van bestuurders zeer bepalend kan zijn voor de koers van de organisatie. De vraag is natuurlijk of die ene persoon zo bepalend kan zijn dat dit een hele organisatie in gevaar kan brengen.

Het gaat daarom niet alleen om leiderschap, het gaat ook om de groepsdynamiek die er in de lagen eronder plaatsvinden. Hoe komt besluitvorming tot stand, welke formele lijnen zijn er en welke informele lijnen. Worden alle risico’s besproken of wordt alles gesimplificeerd waardoor het cruciale gesprek niet plaatsvindt?

Als leider / bestuurder is het dus belangrijk om de juiste vragen te stellen. Wanneer de zaken goed maar zeker ook wanneer zich incidenten voordoen. De vragen die Churchill zichzelf altijd stelde waren:

  • Waarom wist ik het niet?
  • Waarom wisten mijn adviseurs het niet?
  • Waarom werd het me niet verteld?
  • Waarom heb ik er niet naar gevraagd?

Dat wat je niet weet, daar kun je ook niet naar vragen! Een diversiteit in het managementteam helpt om vanuit verschillende brillen naar de zaken te kijken. Dit legt alleen ook een grote verantwoordelijkheid in deze lagen. Wat zijn de noodzakelijke elementen wil er een gezonde bedrijfscultuur heersen dat er een gezamenlijke alertheid ontstaat om de complexiteit het hoofd te bieden?

  • Iedereen alert op verstoringen
  • Voorkom teveel simplificeren (niet alles past op een half A4 tje)
  • Secuur op de uitvoering (de machinekamer is niet zo belangrijk als de strategie)
  • Scherp op aanpassingsvermogen (wat gaat er nog zoals gepland)
  • Respect voor expertise (experts mogen zich niet laten overrulen)

Stel uzelf de vraag: wat is het aanpassingsvermogen van onze organisatie?


door 1 reactie

SNS Reaal Property Finance was altijd afwezig op de Risicomanagement vergaderingen

In de toelichting op het persbericht van SNS Reaal stond precies 1 zin over risico’s!

Er zal een apart comité voor risicomanagement voor het nieuwe SNS Property Finance worden ingesteld met daarin twee leden van de Raad van Bestuur van SNS REAAL en externe deskundigen.

Verder blijft het management van BPF in takt zodat het zichzelf verder kan ontwikkelen maar ……. het gaat wel worden aangestuurd conform de kaders van SNS Reaal.

Behoorlijke tegenstrijdigheden als je bedenkt:

  • Er is gebleken dat er 3 mensen zaten op risicomanagement en die bovendien niet serieus genomen werden
  • Property Finance nooit op de risicomanagement vergaderingen verscheen
  • Bankiers alleen maar meer beloond werden voor de risico’s die ze namen
  • De CEO alleen maar Durf beloonde
  • etc

Deze beloften zijn in ieder geval niet in ingelost!

Terwijl de risico’s overduidelijk waren:

  • Binnen 2 maanden nadat ze geld hadden opgehaald kochten ze Bouwfonds Property Finance, een klassieker! (geld brandt)
  • SNS Reaal had geen buitenland ervaring terwijl 30% van de portefeuille dit wel was
  • Ze kochten een portefeuille waar posten in zaten die factor 100 waren die de SNS Reaal mensen gewend waren
  • Het is naïef te denken dat hoge rendementen zonder risico’s zijn!

Ik vraag me af:

  • Hoe Risicointelligent was SNS Reaal; niet volgens mij. De leiding voelde niet de gevolgen van hun beslissingen. Dit zijn per definitie gevaarlijke figuren (lees RQ)
  • Welke tegenkrachten waren? Geen, niet van de mededirectieleden en niet van de RvC
  • Welke verkopende partij doet dit voor een prijs zodat de investering direct winstgevend is? Een normale minimale terugverdientijd is 3 jaar. Het persbericht doet anders geloven.

Wat kunnen we er van leren:

  • Loop als bedrijf niet achter de meute aan. Hanteer je eigen strategie! Laten we wel zijn: iedere bank heeft nu hetzelfde probleem, ze zitten allemaal met een vastgoedportefeuille waarop ze flink moeten afschrijven. Dit doel veel pijn en daarom doet met dit maar zeer summier. De grote klap komt nog voor. Mede daarom willen ING, Rabo en ABN SNS graag in de lucht houden
  • Bij een goede en evenwichtige risicospreiding is het altijd mogelijk dat er een of enkele onderdelen de verwachtingen niet waarmaken
  • Creëer tegenkrachten! Dit is het meest lastige maar wel noodzakelijk. Duidelijke kaders vooraf opstellen welke risico’s wel en niet acceptabel zijn. Investeringen waarvan je geen verstand hebt is altijd een No-Go. Kijk maar naar Ahold en Unilever, etc. Er zijn genoeg partijen geweest waarvan men kon leren

Achteraf praten is makkelijk

Natuurlijk is het met de feiten voor je eenvoudiger analyseren. De kracht van Risicomanagement is wel dat je dit ook vooraf doet. Hiervoor moet je mensen de gelegenheid geven en hun expertise respecteren. Dit vraagt een open cultuur die gewend is om naar elkaar te luisteren om zo de juiste beslissing te kunnen nemen. Dit vraagt respect voor elkaar rollen, voor zowel de CEO als de Riskmanager.

 


door Een reactie plaatsen

Risicomanagement; Middel of Doel?

Er zijn inmiddels zeer veel organisaties die ooit een start met risicomanagement hebben gemaakt. Ooit een start? Het blijkt dat risicomanagement implementeren, het onderdeel laten uitmaken van het DNA van de organisatie, nog niet net zo eenvoudig is. Het heeft veel paralellen met kwaliteitsprojecten. Veel van deze initiatieven zijn ook beland op de afdeling kwaliteit, met kwaliteitsmedewerkers die verantwoordelijk zijn voor de kwaliteit van dienstverlening…….terwijl ze geen onderdeel uitmaken van het primaire proces.

Een van mijn eerste opmerkingen is dan ook dat het implementeren van risicomanagement geen project is! Het heeft geen kop en geen staart. Geen kop omdat veel organisaties onbewust of bewust maar zeker niet expliciet informatie over risico’s meenemen in hun besluitvorming. Geen staart omdat de implementatie pas een succes is als het overdenken van risico’s onderdeel is van de normale bedrijfsvoering van iedere medewerker in de organisatie. Dit betekent nogal wat:

  • alle lagen in de organisatie hebben een rol;
  • men moet elkaar scherp houden door te vragen naar risico’s;
  • informatie over risico’s is te vinden in project-, management-, kwartaal-, jaar- en investeringsrapportages;
  • het risicoprofiel is altijd actueel;
  • men ziet het niet als meer werk maar als onderdeel van het werk!

Op deze wijze is risicomanagement geen doel maar een middel om te komen tot: betere besluitvorming, betere verantwoording, inzicht in beheersing, inzicht in verantwoordelijkheden, de mogelijkheid om meer risico te nemen, etc.

Dit realiserende beseffen veel organisaties dat de huidige risicoprofielen ook snel schijnzekerheid kunnen geven en juist wantrouwen kunnen oproepen bij stakeholders. Immers, niets is zo frustrerend als stakeholder (bank, financier, toezichthouder, klant, samenwerkingspartner, etc) wanneer informatie over belangrijke risico’s niet up te date is en niet uniform en vergelijkbaar. Belangrijke gebeurtenissen wachten dan ook niet op de volgende risicosessie, zoals veel controllers wel eens denken. Wij doen actief aan risicomanagement; 2 keer per jaar een sessie waarin we alles nog eens updaten is een veel gehoorde uitspraak waarbij de goede stakeholders vraagtekens zetten.

Hoe pak je het pragmatisch op:

  • maak het onderdeel van de dagelijkse verantwoording van iedereen;
  • verwijs er naar in beoordelingsgesprekken;
  • zorg voor een cultuur waarin er gevraagd wordt naar risico’s;
  • zorg dat de juiste mensen (bijvoorbeeld projectleiders) facilitators worden om risico’s op te halen bij de experts;
  • koppel het aan alle uitdagingen waar een ondernemer / onderneming voor staat.

Met risicomanagement als middel kun je doelen verwezenlijken!