Erik van Marle – Blog over risicomanagement

www.naris.com


Een reactie plaatsen

Het verschil in risicomanagement bij een private en publieke organisatie!

publiek privaat

Regelmatig wordt deze vraag gesteld en iedere keer wordt er weer gegraven in mijn gestolde kennis (ervaring). Een paar overwegingen die ik met jullie wil delen zonder daar overigens nu al volledig in te willen zijn.

Publieke organisaties zijn veel meer gewend om (risico) verantwoording af te leggen over hun reilen en zeilen dan private organisaties. Waar private organisaties dit pas zijn gaan doen na de invoering van de Code Tabaksblat zit dit van oudsher al veel meer in het natuur van de publieke organisaties. Deze laatsten hebben altijd moeten functioneren met belangrijke stakeholders als gemeenten, zorgpartijen, woningcorporaties die allemaal in hetzelfde speelveld een rol hebben. In deze consternatie is verantwoording een vanzelfsprekendheid. Voor private partijen bleek de code Tabaksblat een struggle. ‘Pas toe of leg uit’ werd in het begin op verschillende wijze uitgelegd.

Private organisaties hebben de laatste jaren een flinke inhaalslag gemaakt. Daar waar veel publieke organisaties blijven hangen in de klassieke risicoparagraaf leggen private organisaties veel sterker de link tussen de performance en de daarbij behorende risico’s. In hun zogenaamde ‘sustainability reports’ gaat het erover hoe duurzaam hun strategie is en welke keuzen ze hierin gemaakt hebben. Qua risicomanagement gaat hun uitleg over hoe ze het hebben georganiseerd. Vanzelfsprekend gaan ze niet in op de risico’s en kansen die ze zien, dit is immers concurrentiegevoelige informatie. Publieke organisaties hebben ook te maken met deze gevoelige informatie maar voelen zich wel vaak verplicht deze risico’s te benoemen. Wat mij betreft niet noodzakelijk. Als stakeholder zou ik liever lezen hoe ze er voor zorgen dat de organisatie te allen tijde alert blijft!

Fraude (Imtech bijvoorbeeld) buiten beschouwing gelaten valt mij ook op dat in private organisaties risico’s veel sneller op tafel komen. Uit de vele gesprekken die ik hierover voer valt mij op dat dit hoofdzakelijk komt doordat risico’s veel sneller voor de betrokkenen relevant worden. Ze voelen veel sneller zelf de gevolgen doordat het rechtstreeks invloed heeft op resultaten. Dit in tegenstelling bij publieke organisaties. De gevolgen van risico’s worden minder persoonlijk gevoeld en doordat publieke organisaties vaak met meerjarige begrotingen werken vallen de (financiële)gevolgen vaak weg in het totaal.

Deze laatste hobbel is de grootste uitdaging. We raken hier immer de cultuur van de organisatie. Het management van een publieke organisatie zal dus veel meer moeite moeten doen om risico’s positief bespreekbaar te krijgen. De juiste vragen stellen is cruciaal.

Welke vragen stelt u?

Advertenties


Een reactie plaatsen

Uiteindelijk draait risicomanagement om WAARDE

Wij zijn er met z’n allen goed in om alles in cijfers uit te drukken. Projecten worden het liefst gemeten iKlunenn TIJD/GELD EN KWALITEIT.

En weer verlaat een tevreden klant het pand…

(Herman Finkers)

Maar zo kan het voorkomen dat een project keurig binnen de afgesproken kaders blijft maar bij oplevering geen waarde meer heeft. Dit speelt veelal bij langlopende projecten. Maar ik voorspel dat dit steeds meer gaat gebeuren. Immers, de context waarin we opereren verandert steeds sneller en innovaties volgens elkaar steeds sneller op.

Waardesturing

De reden die ik zie dat men de waarde uit het oog verliest is dat er alleen maar binnen het project naar de risico’s en kansen wordt gekeken. Ik zie veel te weinig analyses waarbij ook de vooraf bedachte waarde die het project zou moeten opleveren wordt gemonitord. Doet men dit wel dan kan men pas echt sturen en zou ook veel vaker de vraag voorliggen of men moet versnellen, vertragen of zelfs stoppen. Beter ten halve gekeerd dan ten hele gedwaald!

De grote risico’s zitten dus in de aansluiting van het project op de omgeving. Risicomanagement analyses moeten derhalve altijd risk versus return aspecten in zich hebben. Deze return zit in de eerste plaats op het niveau of er nog wel waarde wordt gecreëerd. En natuurlijk is ook ieder individueel risico een afweging maar mijns inziens echt van een andere orde.

Dit gezegd hebbende; wellicht zijn scopewijzigingen helemaal zo slecht nog niet!


Een reactie plaatsen

DE eigenschap van een professionele toezichthouder moet zijn…..

Verwondering

……VERWONDERING

Zou het kunnen?
Iedere keer weer aan tafel te gaan zitten en jezelf te verwonderen?
Echt vragen stellen zonder vooroordeel?
Vragen niet gebaseerd op je stokpaardjes?
Vragen oprecht vanuit je persoonlijke verantwoordelijkheidsgevoel?
Vragen vanuit de juiste intentie?
Vragen vanuit vertrouwen?
Niet om te controleren maar om te begrijpen?

Om dit kunnen moeten toezichthouders volgens mij veel afleren (het moeilijkste wat er is). Zullen we raden anders moeten samenstellen. De traditionele inrichting (accountant, oud-bestuurder, jurist, branchespecialist, etc) zou misschien niet meer volstaan. Immers, als je vanuit kennis en expertise wordt aangesteld ga je daar ook naar handelen. En je ziet dan alleen waar je naar kijkt.

Natuurlijk geldt ook hier dat een combinatie waarschijnlijk het beste werkt. Dit vraagt echt heel veel zorgvuldigheid bij de samenstelling en het functioneren van de Raad. Karaktereigenschappen, omgangsvormen, assertiviteit, sensitiviteit, introvert, extravert, emotioneel, etc. Allemaal zaken die naar mijn mening nu niet expliciet worden meegenomen bij de samenstelling van de Raad.

En degene die de Raad mag voorzitten mag de grootste verwonderaar zijn. Het schaap met de vijf poten? Alleen voorzitten en zorgen dat de goede beslissing genomen wordt en de juiste vragen door iedereen worden gesteld. Ga er maar aan staan. Je eigen ego volledig dienstbaar aan de vergadering opofferen.

zien jullie oud bestuurders/directeuren of moet ik zeggen beslissers dit al doen?


Een reactie plaatsen

Risicomanagement draait om discipline en mentaliteit!

Vele organisaties geven hoog op over hun risicomanagement. Systemen zijn ingericht, mensen worden getraind op kennis en vaardigheden, het is onderdeel van de Planning en Control Cyclus, jaarlijks worden risicoanalyse gehouden, etc. We kennen allemaal het COSO model, de ISO 31000 norm, MOR wellicht ook nog. Aan alle vereisten wordt voldaan. Toch? geloof-in-eigen-kunnen

En we twijfelen allemaal of al deze inspanningen voldoende zijn. En bij twijfel gaan we nog meer doen / inrichten /rapporteren.

Waar draait het naar mijn mening echt om?

Discipline
Welke organisaties hebben de discipline risicobewust te handelen. Bij iedere beslissing de afweging te maken of de risico’s opwegen tegen de kansen. Staan ze in verhouding tot elkaar? Welke organisatie heeft de toewijding, het commitment om deze risicoafweging echt onderdeel uit te laten maken van iedere besluitvorming. En niet te wachten tot de volgde P&C Cyclus.

Mentaliteit
Om de discipline op te kunnen brengen is de juiste mentaliteit nodig. Risicoalertheid ontstaat als het onderdeel wordt van het denk- en gedragspatroon van de organisatie. Alleen dan bereik je dat we elkaar durven aan te spreken en erop te attenderen dat risicoalert handelen ons successen brengt. Deze mentaliteit maakt organisaties succesvol.

Systemen zijn op te zetten en te omzeilen, af te vinken. Kennis is te trainen en te vergeten. Vaardigheden zijn aan te leren en weer te vergeten. Als Mentaliteit en Discipline onderdeel zijn van het gedachtegoed van een organisatie valt er niet aan te ontkomen. Je bent onderdeel van de organisatie en anders past het niet! Rollen, verantwoordelijkheden en bevoegdheden zijn duidelijk en bespreekbaar op ieder moment.

En daarom, risicomanagement valt alleen als organisatie in z’n totaliteit te implementeren en niet ergens te beginnen en te hopen dat het overwaait.


Een reactie plaatsen

Hoe maak je risicomanagement verrassend voor directie?

Voorbereiding is alles voor degene die een risicomanagement workshop mag begeleiden. Het is altijd spannend! Wat komt eruit? Hoe gaat men reageren? Gaat men het leuk vinden of ziet men het als iets verplicht? Is het een groepsproces of is het vechten voor aandacht? Kortom, een dynamische omgeving waarbij iedereen wel verwacht dat het iets oplevert.

Natuurlijk gaat risicomanagement erover dat er een gezamenlijk integraal beeld komt over de risico’s en de mate waarin deze worden beheerst. Er moet een open cultuur zijn en een goede link naar de strategie van het bedrijf. In mijn andere blogs en die van mijn collega’s wordt op deze zaken uitgebreid ingegaan.

Maar hoe zorg je er nu voor dat de directie (de mannen die echt wel denken te weten welke risico’s er binnen hun organisatie aanwezig zijn) positief verrast wordt?

Voorbereiding is alles. Doe een stakeholder analyse van het bedrijf en interview objectief de belangrijkste partner van het bedrijf. Vraag hoe zij tegen de organisatie aankijken, welke risico’s zij op de organisatie zien afkomen, welke trend ze in de branche zien, welke uitdagingen zij zien aankomen, etc. Onderstaand een niet limitatieve opsomming met wie je kunt praten:verrassing

  • De huisfinancier / bank;
  • Belangrijke klanten;
  • De huisjurist;
  • Het middenkader;
  • De accountant;
  • Een (groot) aandeelhouder;
  • Lid van de RvC;
  • etc.

Mijn ervaring leert dat met deze informatie je een prachtige aanvulling kunt doen op het risicoprofiel dat een directie zelf kan opstellen. En doordat men beseft waar deze inzichten vandaan komen faciliteer je een geweldige discussie over nieuwe risico’s waar ze zelf niet eerder gezamenlijk over gesproken hebben.

Dan zie je de kracht van goed voorbereid risicomanagement en is het niet meer de vraag of risicomanagement op de agenda komt.

Risicomanagement bepaalt de agenda!


Een reactie plaatsen

De lessen van een goede balans tussen risico’s en plezier

24 uurs race 2013 037Mijn laatste zeilvakanties hebben mij weer veel inspiratie opgedaan en veel geleerd over hoe je risico en fun met elkaar kunt combineren. Het lekkere gevoel komt op de momenten wanneer we, onder het genot van een drankje veilig in de haven, de reis evalueren.  In het heetst van de strijd, in een wedstrijd of in gevecht met de natuurelementen is daar natuurlijk geen tijd voor.

Op vakantie hebben we regelmatig tegen elkaar gezegd dat het zo’n mooie tocht was omdat we op tijd onze zeilvoering hadden aangepast. Het is meerdere malen gebeurd dat tijdens de tocht de windkracht toenam van 3 bft naar 6 bft. Van spinnaker varen naar gereefd grootzeil en genua. Heerlijk zo’n tocht waarbij je geen moment het gevoel hebt gehad dat er geen controle was. Een veilig gevoel, belangrijk voor de rust in de familie en het plezier in zeilen. Dit ondanks veranderende omstandigheden, toenemende onzekerheden, etc.
In een zeilwedstrijd gaat het om de snelheid van handelen. Degene die de wedstrijd wint is meestal degene die de minste fouten maakt en ze het snelste weet op te lossen. In een team waarin communicatie, timing, kennis van zaken en veiligheid continue met elkaar in balans moeten zijn worden continue kleine vergissingen begaan. Voor ons was het een eerste seizoen met spinnaker, dus veel nieuwe handelingen. Het gaf mij de meeste kick dat in een van de laatste wedstrijden we 2 grote vergissingen beginnen maar we ze beiden in no-time hadden hersteld. Sneller dan onze concurrenten en dus goed voor de einduitslag!
Wat kunnen we er van leren:
  • Shit happens! Er zullen altijd zaken zijn die niet zo lopen als verwacht;
  • Anticiperen wordt makkelijker als je vooraf afspraken maakt in welke omstandigheden actie geboden is;
  • Continue je omgeving in de gaten houden en er naar handelen;
  • Beter iets te vroeg reageren dan te laat. Tijd geeft rust om goed te handelen;
  • Oefening baart kunst, bepaalde scenario’s moet je gewoon oefenen;
  • Duidelijke taakverdeling verhoogt routine en zorgt voor minder regels en procedures;
  • Iedereen is gelijk en heeft dezelfde stem omdat alles van elkaar afhankelijk is, de kapitein doet de coördinatie en bepaalt de volgorde;
  • Duidelijke instructies vooraf zorgt voor minder miscommunicatie;
  • Evalueren kan alleen in een veilige haven.


Een reactie plaatsen

Het recept voor de juiste risicomanagement software

Software kan de basis vormen voor goed risicomanagement, omdat het zorgt voor het voeren van de juiste discussie. Het doel van de software is dus niet om alles zo compleet mogelijk vast te leggen, dit is alleen handig bij risicoverantwoording. Dit is een wezenlijk onderscheid waar managers rekening mee moeten houden bij het selecteren van de juiste tool. Omdat hierover verschillende misverstanden bestaan, maar het een strategische afweging betreft, vind je in deze blog mijn selectiecriteria voor software voor risicomanagement.

Leverancier
Het begint direct bij de leverancier. De wereld verandert razendsnel en dit heeft natuurlijk effect op de software. Daarnaast is deze vaak nieuw en complex, dus heb je hulp nodig om er mee te kunnen werken. De informatie in het systeem dient in elk geval veilig te zijn en het contact met de leverancier moet soepel verlopen. Puntsgewijs:

  • Capaciteit. De mogelijkheid om door te ontwikkelen en veranderingen op te vangen.
  • Hulp. Een helpdesk voor snelle back-up is wenselijk.
  • Beveiliging. Risico-informatie bestaat uit cruciale gegevens die niet op straat mogen komen te liggen.
  • Stabiliteit. Kies een leverancier die verstand heeft van de software èn de inhoud.
  • Flexibiliteit. Ontwikkelingen gaan snel, hier moet een leverancier in mee kunnen gaan.
  • Inhoud. Leveranciers zonder inhoudelijke expertise zullen meer moeite hebben aansluiting te vinden met de risicomanagement uitdaging.

Meten
Een aantal zaken moet terugkomen in elke digitale risicomanagement tool. Software is goed geschikt om te meten en vergelijken. Zorg daarom dat in de tool in elk geval de volgende elementen zitten:

  • Stakeholder schema’s
  • Trendanalyses
  • Grafieken
  • Kosteneffectiviteit van beheersmaatregelen
  • Rapportages die gaan over inhoud en cultuur

Online en ander gemak
De hele wereld is online en dat heeft allerlei redenen, maar gemak en snelheid zijn er zeker twee van. Om de zekerheid te hebben dat de informatie in het systeem actueel is en de tool gebruiksvriendelijk, zijn de komende features van belang:software

  • Toegang via web. Zo kan er op verschillende locaties gewerkt worden.
  • Smart applicaties. Hierdoor kan informatie eenvoudig ingevoerd en gedeeld worden.
  • Intuïtief. De tool moet logisch zijn, zeker om gebruik op de lange termijn te waarborgen.
  • Links met het web. Hierdoor kan externe kennis worden gebruikt.
  • Onbeperkt gebruik. Zodat klanten, nieuwe werknemers en andere betrokkenen de tool ook kunnen gebruiken.
  • Snelheid. Niemand wil in een traag systeem werken.

Ondersteuning
Goede software ondersteunt alle stappen van het risicomanagement proces. Het beheersen van planningen, maken van connecties en archiveren van data hoort hier uiteraard bij.

  • Tijdsplanninganalyse
  • Oorzaak- en gevolgschema’s
  • Risicoregister
  • Monte Carlo analyse

Verbinden
Een risicomanagement informatiesysteem dat goed geïmplementeerd is, hoeft niet persé met allerlei andere systemen te integreren. De manager moet wel op de hoogte zijn van de belangrijkste risico’s uit andere systemen. Het verbinden van resultaten vanuit verschillende kaders zorgt ervoor dat het management een goede integrale afweging kan maken.