Erik van Marle – Blog over risicomanagement

www.naris.com

Tagarchief: RvC


door 1 reactie

ING’s mislukte 3-line of Defence model in Witwas schandaal!

Financieel Dagblad Zaterdag 8 september

IMG_20CD16F24B89-1

De 3 afdelingen ‘business’, ‘compliance’ en ‘internal audit’ binnen ING hebben langs elkaar heen gewerkt. Niemand voelt zich verantwoordelijk voor het geheel. ‘Velen waren gezamenlijk verantwoordelijk voor een deel van het verwijtbare gedrag’ geeft het OM aan.

Laat dit nu net het probleem zijn waar de Monitoring Commissie Corporate Governance Code in de laatste update heel veel aandacht aan heeft besteed. De code is tegenwoordig zelfs wettelijk verankerd.

Corporate Governance Code

De Code besteed veel aandacht aan Risicomanagement. Ze geeft daarbij zelfs aan dat ondernemerschap het realiseren van kansen is door op een bewuste wijze risico’s te nemen. Hiervoor is essentieel een adequaat risicobeheersingssysteem. Dit moet onder andere een vooruitblik geven op die risico’s die het voortbestaan van de organisatie in de weg kunnen staan. Expliciet wordt hierbij aangeven dat de auditfunctie hier een steeds belangrijkere rol in gaat spelen. Immers, het bestuur en de raad van commissarissen krijgen door deze functie echt inzicht in de werking van het risicobeheersingssysteem van de organisatie.

3-Lines of Defence

De uitgangspunten van het 3-lines of defence model zijn volgens mij al heel lang erg duidelijk. De ‘business’ (1st line) is eindverantwoordelijk voor de keuzes die ze maken en de risico’s die ze businesswise aangaan. Hier zou bij een organisatie als ING toch geen onduidelijkheid over moeten bestaan?

‘Compliance'(2de line) ontwikkelt de systemen voor een goed proces van risicomanagement en beheersing, altijd ter ondersteuning van de ‘business’.

‘Internal Audit’ (3de line) voorziet de hoogste leiding van zekerheid over de kwaliteit van sturing en beheersing. Ze is dus niet in directe zin verantwoordelijk voor de kwaliteit van het in control zijn van de organisatie maar wel verantwoordelijk voor de mate waarin ze in staat is om de inconsistenties in de opzet en het bestaan van de control frameworks te analyseren en zichtbaar te maken.

De praktijk is altijd weerbarstig maar heeft vaak wel te maken met ego’s/cultuur. De praktijk leert dat iedere lijn z’n eigen systemen wil en het liefst de Rolls-Royce. Het kost organisaties ontzettend veel tijd om hier keuzes in te maken. Hierdoor verschuift uiteindelijk de aandacht en de urgentie. ‘Business’ voelt zich altijd superieur en dus volgt Compliance en Audit. Het gevolg hiervan is dat de systemen om het risicomanagement en beheerssysteem niet gaan functioneren. Bestuur en management missen het zicht op de kansen en bijbehorende beheersing.

4 Aanbevelingen:

  1. Alle afdelingen zullen moeten werken in hetzelfde systeem!
  2. Het bijhouden van kansen die genomen worden en de beheersing die hierbij past is een verantwoordelijkheid van de ‘business’;
  3. ‘Audit’ en ‘Compliance’ zijn leading in de keuze van de systematiek en het systeem;
  4. ‘Audit’ legt rechtstreeks uit het systeem verantwoording af over de bevindingen en aanbevelingen aan bestuur en raad van commissarissen.

ING

Dit is het ultieme moment voor ING om het juiste risicobewuste gedrag in de organisatie te stimuleren en de cultuur te veranderen. Maak de ‘business’ expliciet verantwoordelijk voor het benoemen en beheersen en dus vastleggen van dit soort risico’s. Bepaald dat ‘Compliance’ en ‘Audit’ bepalen via welk proces en systeem er gewerkt dient te worden. Het heeft geen zin nog meer afvink gedrag te stimuleren door meer compliance officers aan te stellen. Zorg dat de ‘business’ begrijpt wat ze aan het doen zijn en dat het hun verantwoordelijkheid is.

‘Never let a good crisis go to waste’ Winston Churchill


door Een reactie plaatsen

Praktisch Stappenplan Risicomanagement Woningcorporaties

Risicomanagement is niet nieuw! Iedere organisatie doet bewust of onbewust al heel veel aan risicomanagement. Bewust vaak op de financiële processen. Op alle andere processen vaak heel onbewust. Gelukkig maar want dit zijn over het algemeen wel de meest risicovolle processen.

Voordat je begint is het verstandig te bepalen wat je wilt bereiken met Risicomanagement. Wat mij betreft zijn dit maar een paar zaken:
1. Risicobewuste medewerkers;
2. Inzicht in de mate en vooruitgang van beheersing van je belangrijkste risico’s;
3. Inzicht in waar je moet bijsturen om je doelstellingen te realiseren.

De grootste valkuilen zijn:
* Eindeloze excellijsten met alleen maar risico’s;
* Op zoek naar schijnzekerheid door ingewikkelde formule’s en oorzaak-gevolg relaties te willen gebruiken;
* Geen aansluiting bij de medewerkers door iets op te leveren wat ze niet gebruiken in hun dagelijks werk;
* Geen aansluiting bij de vraag van intern en extern toezicht waardoor zaken dubbel gebeuren;
* Geen relatie te hebben met beslissingen die je wilt nemen!

Stap 1
Dit is de moeilijkste. Het volledige MT moet het erover eens zijn dat informatie over Risico’s, de mate van beheersing, het inzicht in Compliance en de bevindingen van Audit gebruikt worden om beslissingen te nemen. Dit betekent dus dat deze informatie mede leidend is en gefaciliteerd wordt om deze informatie op te halen.

Schermafbeelding 2017-12-20 om 21.41.46

Stap 2
Visualiseer je strategie. Met de woningwet van tegenwoordig moeten corporaties in staat zijn een duidelijke (SMART) strategie neer te zetten, gebaseerd op de prestatieafspraken. Je bent succesvol als corporatie op het moment dat je je strategie weet te realiseren. Mooie projecten realiseren die niet bijdragen aan de strategie dragen dus niet bij aan het succesvol zijn.

Maak een Strategiekaart waarin het voor alle medewerkers duidelijk is welke activiteiten je cruciaal vindt voor de corporatie. Hang deze op in de gang, in de kantine zodat er vaak over gesproken kan worden.

Schermafbeelding 2016-09-15 om 08.59.09

Stap 3
Gebruik de Strategiekaart als uitgangspunt van waaruit je de risicoanalyse start. 2-5 risico’s per succesfactor zijn meer dan genoeg om inzicht te krijgen waar de uitdagingen in de organisatie zitten. Doe dit met alle mensen die betrokken zijn bij de processen rondom zo’n succesfactor. Let goed op de kwaliteit van omschrijving, je gezamenlijk inschatting van impact en gebruik altijd voorbeelden ter illustratie. Dit maakt het repliceerbaar en blijft de context beschikbaar.

Benoem een eigenaar die verantwoordelijk blijft voor de opvolging van acties en kwaliteit van het beschreven risico.

Schermafbeelding 2016-11-17 om 18.31.59

Stap 4
Inventariseer wat er allemaal al gedaan wordt aan beheersing en bepaal of dit effectief is. Inventariseer vervolgens wat er meer of beter gedaan kan worden en leg duidelijk vast wat er verwacht wordt. Bepaal ook in welke frequentie dit gecontroleerd moet worden en wie ervoor verantwoordelijk is.

Stap 5
Zorg na iedere sessie dat de deelnemers direct een rapportage ontvangen met daarin het gedane werk en uitstaande acties. Zorg dat dit aansluit bij bestaande werkzaamheden. Kijk ook welke rapportages er nu al zijn en niet gebruikt worden. Deze zijn overbodig.

Optimaal is wanneer je met elkaar in 1 systeem werkt. Dit dwingt een uniforme en standaard taal af waarmee iedereen risico’s op dezelfde wijze beschrijft. Dit inzicht in onbetaalbaar, zowel voor begrip als voor het kunnen nemen van besluiten.

Schermafbeelding 2016-11-17 om 18.33.38

Stap 6
Als Riskmanager werk je samen met de Compliance Officer, de business controller en audit. Je hebt afstemming over de prioriteiten en je bent gezamenlijk de helpdesk voor de organisatie. Monitor de intensiteit van wijzigingen in het profiel, dat zegt echt wat of de organisatie risicobewust is.

Dit is direct hele relevante informatie voor toezichthouders, wiens taak het is om toezicht te houden op het risicomanagement en beheersysteem van de organisatie.

Stap 7
Incidenten zijn een onderschatte bron van informatie over wat er gebeurd in een organisatie. En dan hebben we het niet alleen over veiligheidsincidenten. Iedere verstoring in een normaal proces is een incident. Begin gewoon eenvoudig met het vastleggen hiervan en je zult ervaren dat dit veel inzicht geeft welke zaken vaak misgaan en waar over het algemeen ook snel wat aan gedaan kan worden.

Bij een grote projectgedreven organisatie levert het incidentenoverzicht sneller en meer inzicht op over de status van een project dan de mooie rapportages aan het einde van iedere maand. Het niet beschikbaar zijn van personeel of materieel, het niet rond hebben van de vergunning; allemaal incidenten waaruit je direct kan afleiden of het project wel of niet soepel begint.

Schermafbeelding 2017-12-20 om 22.05.15

Tot slot
Wees je er continue van bewust dat de informatie die je ophaalt uit de organisatie en ter bespreking voorlegt relevant moet zijn. Je doet het niet omdat het moet maar omdat het je helpt. Het heeft daarom ook geen zin om hier regels voor te introduceren. De juiste mensen willen dit omdat het ze tot betere prestaties leidt.

Het juiste management wil dit omdat het ze een fijnere, succesvollere, veiligere organisatie oplevert die doet waarvoor de organisatie bestaat.


door 5 reacties

Corporate Governance en veilig incidenten melden

Corporate Governance en veilig incidenten melden

Natuurlijk wordt de wereld transparanter en willen we ook ook steeds meer weten van bedrijven. En zolang bedrijven en dus personen INTEGER handelen heeft dit een zeer positieve uitwerking op de uitstraling van de organisatie.

Incident melden

Er is tegenwoordig echter ook een andere vorm van transparantie. De transparantie die de media, de externe toezichthouder, parlementaire enquete, branchvereniging, etc zoekt nadat zich incidenten hebben voorgedaan. Het resultaat van deze laatste vorm van transparantie is een bijna niet te stoppen vallend imago van de betrokken organisaties in het bijzonder en de branche in het algemeen. Denk hierbij aan de bankensector, de woningcorporaties, de tussenpersonen en financiële adviseurs, de bouwsector, etc. De voorbeelden staan iedere week in de krant. Naam en toenaam worden niet geschuwd.

Het grote risico van ‘Naming and Shaming”

Het effect van deze ‘naming and shaming’ heeft een veel grotere impact dan de veroorzakers hiervan zich volgens mij realiseren. Een paar effecten voor de vuist weg:

  • Het imago van het bedrijf is voor vele jaren besmeurd;
  • Huidige stakeholders verliezen vertrouwen;
  • Klanten vertrekken;
  • Enorme juridische kosten;
  • Reorganisatie voor medewerkers;
  • etc.

Maar het grootste risico is dat voor de komende jaren niemand meer iets durft te melden binnen zo’n organisatie!

Alle ervaringen leren ons immers dat mensen dit soort ervaringen nooit meer willen meemaken. Iedere kans om zo’n mediacircus te voorkomen wordt dan toch aangegrepen? En we weten hoe het met de klokkenluiders afloopt…..

Waar is de Raad van Toezicht?

Naar mijn mening is een van de belangrijkste taken van de Raad van Toezicht / Raad van Commissarissen bereikbaar te zijn voor meldingen van incidenten. Zelfs pro-actief hier naar op zoek te gaan. Het is een van de belangrijkste indicatoren om te zien en te voelen of een organisatie zich veilig voelt en continue wil verbeteren.

Aan iedere materiële claim gaan 100 incidenten vooraf!

Ziet u als toezichthouder de belangrijkste 5 oorzaken van de meest voorkomende incidenten in uw organisatie?

De organisatie uit de wind houden!

Door het inzicht te hebben in deze incidenten bent u als toezichthouder in staat om de organisatie op de belangrijke momenten uit de wind te houden. In geval van incidenten staat u voor de bestuurder. Indien het voor de wind gaat staat u achter de bestuurder. Op dit soort moment is de RvC de enige die voor continuïteit van de organisatie kan zorgen. Een van de belangrijkste doelstellingen die een RvC moet hebben?

Governance Code Van Manen

Gelukkig is er in de nieuwe code ingegaan op deze elementen. De RvC is verantwoordelijk voor de goede werking van het Risicomanagement en Beheerssysteem. Daar hoort bij het toetsen van de juiste cultuur die past bij de desbetreffende organisatie. Een onderdeel hiervan is vanzelfsprekend het monitoren van onregelmatigheden / incidenten.

Good Governance, niet in het bijzonder voor je medebestuurders maar voor de belangrijkste stakeholders (medewerkers) van je organisatie!

ps. Incidenten betreffen dus de onregelmatigheden in de breedste zin van het woord. Veiligheid, Arbo, Financiele missers, HR, etc. zijn in deze zin uitwisselbaar.

 


door 1 reactie

Voorkom het einde van de Corporatie

“Momenteel concurreert een koopwoning van € 250.000 rechtstreeks met een sociale huurwoning” hoor ik Ger Hukker deze week op BNR zeggen. Dat klinkt absurd maar na een paar minuten hoofdrekenen moet ik hem bijna gelijk geven. Tenminste als het op maandlasten aankomt. Als dit het nieuwe normaal is geworden, dan kan dit het einde betekenen van de woningcorporatie zoals wij die nu kennen. En, vanuit risicomanagement bezien leidt dat natuurlijk tot de vraag hoe je hier als beslisser op kunt reageren?

Eerst maar even rekenen

De actuele hypotheekrente voor een lening met NHG en een 10 jaar rentevastperiode bedraagt momenteel ca. 2,25%. Voor de eenvoud stellen we de lening gelijk aan de koopsom uit het voorbeeld van Hukker: € 250.000. De maandelijkse annuïteit (rente + aflossing) bedraagt dan bruto € 960. Houden we vervolgens rekening met het eigen-woningforfait van 0,75% (€ 1.875 per jaar) en renteaftrek tegen 40%, dan leidt dit tot een netto maandlast van € 835. De redenering van Hukker blijkt dus toch iets te kort door de bocht. De maximale huurprijs van een sociale huurwoning is immers € 700.

Maar voor een volledige vergelijking moeten we ook rekening houden met de onderhoudskosten en eigenaarslasten en dan blijkt de koopwoning in dit voorbeeld zelfs nog iets meer te kosten. Laten we voor het gemak zeggen: netto € 1.000 per maand. Hier tegenover staat dat in de maandelijkse annuïteit ook een bedrag van € 495 aan aflossing is begrepen. Zo bouwt de eigenaar bewoner in het eerste jaar al direct ruim € 5.900 vermogen op door de (verplichte) aflossing. De moraal van dit verhaal: de feitelijke maandelijkse kosten voor een woning van € 250.000 bedragen €1.000 -/- € 495 (aflossing) = € 505. En dat concurreert wel rechtstreeks met een sociale huurwoning.

De corporatie dicht de fiscale kloof

Voor de corporatiepraktijk is het beter om bovenstaande rekensom te maken voor een woning van € 150.000. Dat is namelijk bij benadering de landelijk gemiddelde WOZ-waarde van een corporatiewoning. We komen dan uit op een netto maandlast incl. onderhoud en eigenaarslasten van iets meer zo’n € 700, waarin begrepen een aflossing van € 300 per maand. Per saldo kost deze woning dus maar € 400 per maand.

Bij een gelijke woningwaarde (=wooncomfort) is een huurwoning dus peperduur. Veel consumenten hebben dat inmiddels ook door. De vraag naar betaalbare koopwoningen is dan ook sterk gestegen: mensen die kunnen kopen doen dat weer massaal. Kun je niet kopen, en dat geldt voor de meeste corporatiehuurders, dan moet je sociaal (?) blijven huren.

Het einde van de woningcorporatie?

Het wrange van deze situatie is dat de hoge -sociale- huren niet zo zeer het gevolg zijn van het tekortschieten van de corporaties maar vooral van bizar overheidsbeleid. Op elke huurwoning van € 150.000 drukt namelijk een jaarlijkse fiscale last (verhuurderheffing) van € 740. Als dezelfde woning door een koper wordt bewoond, slaat deze last abrupt om in een fiscale “subsidie”. De koper heeft dan als gevolg van de hypotheekrenteaftrek namelijk een voordeel van € 900 per jaar. Per woning dicht de corporatie dus een fiscale kloof van € 1.640 per jaar (zie afbeelding)

Schermafbeelding 2016-03-24 om 17.37.54

Zo bezien werkt het huidige fiscale beleid als een sluipmoordenaar voor de woningcorporatie. Zeker nu corporaties, sinds de invoering van de nieuwe Woningwet, in toenemende mate zijn gedwongen tot ‘monocultuur’: Ze moeten zich beperken tot 100% sociale verhuur en zijn terughoudend (geworden) met het toepassen van alternatieve vormen van vastgoedexploitatie. Ook kwetsbare “net-niet-doelgroepen” vinden bij veel corporaties geen gehoor meer. Het mag geen verrassing zijn dat deze monocultuur de kwetsbaarheid van de corporatie flink vergroot. Een risicovol toekomstperspectief met hoge impact en nauwelijks direct te beïnvloeden kan op termijn einde betekenen van de woningcorporatie zoals wij die nu kennen.

Wat te doen?

Laten we ervan uit gaan dat elke beslisser of toezichthouder in de corporatiesector niet lijdzaam wil wachten tot de laatste huurder zijn sleutels komt inleveren. Want natuurlijk zijn er natuurlijk er alternatieve strategische beleidskeuzes mogelijk.

Dergelijke beleidskeuzes kunnen worden gezocht met behulp van scenarioplanning. De corporatie verzamelt zo veel mogelijk van de belangrijkste relevante informatie over de verwachte ontwikkeling van de bevolking, de economie, de sociale structuren etc. Een bekende methode is de DESTEP-methode en het is van groot belang dat deze externe factoren zo veel mogelijk worden vertaald naar het eigen lokale niveau. De verwachte bevolkingsontwikkeling in Parkstad Limburg zal immers sterk afwijken van de Metropoolregio Amsterdam.

Scenario’s, en dan?

De externe ontwikkelingen worden vervolgens geconfronteerd worden met het producten en dienstenaanbod van de corporatie. Verwachten we blijvend lage rente en blijven koopwoningen relatief goedkoop ten opzichte van huur met als resultaat dat huurwoningen zichzelf uit de markt prijzen? De legitimatie van de sociale huurwoning komt dan in het geding. Als reactie hier op kan er voor gekozen worden om een deel van de woningen te verkopen. Of is een andere aanpak mogelijk, bijvoorbeeld het verlagen van de huren in grote delen van de woningvoorraad. Een langdurig lage rente levert de corporatie immers veel ruimte in de exploitatie op.

Schermafbeelding 2016-03-24 om 17.39.40

 Scenarioplanning als onderdeel van risicomanagement

De corporatie die van mening is dat zowel haar legitimatie als haar toekomst in gevaar is wacht niet lijdzaam af. Nietsdoen kan immers op termijn grote risico’s met zich meebrengen. Door weloverwogen en met respect voor de eigen (on)mogelijkheden de verschillende externe risico’s te vertalen naar concrete beleidskeuzes kan ook op langere termijn ‘het verschil worden gemaakt’. Scenarioplanning is daarbij niet ‘een kunstje’  van de beleidsafdeling maar maakt een wezenlijk onderdeel uit van het van het (strategisch) risicomanagement van de corporatie.

Erik van Marle en Rein Bakker, Nederlands Adviesbureau Risicomanagement


door Een reactie plaatsen

Het verschil in risicomanagement bij een private en publieke organisatie!

publiek privaat

Regelmatig wordt deze vraag gesteld en iedere keer wordt er weer gegraven in mijn gestolde kennis (ervaring). Een paar overwegingen die ik met jullie wil delen zonder daar overigens nu al volledig in te willen zijn.

Publieke organisaties zijn veel meer gewend om (risico) verantwoording af te leggen over hun reilen en zeilen dan private organisaties. Waar private organisaties dit pas zijn gaan doen na de invoering van de Code Tabaksblat zit dit van oudsher al veel meer in het natuur van de publieke organisaties. Deze laatsten hebben altijd moeten functioneren met belangrijke stakeholders als gemeenten, zorgpartijen, woningcorporaties die allemaal in hetzelfde speelveld een rol hebben. In deze consternatie is verantwoording een vanzelfsprekendheid. Voor private partijen bleek de code Tabaksblat een struggle. ‘Pas toe of leg uit’ werd in het begin op verschillende wijze uitgelegd.

Private organisaties hebben de laatste jaren een flinke inhaalslag gemaakt. Daar waar veel publieke organisaties blijven hangen in de klassieke risicoparagraaf leggen private organisaties veel sterker de link tussen de performance en de daarbij behorende risico’s. In hun zogenaamde ‘sustainability reports’ gaat het erover hoe duurzaam hun strategie is en welke keuzen ze hierin gemaakt hebben. Qua risicomanagement gaat hun uitleg over hoe ze het hebben georganiseerd. Vanzelfsprekend gaan ze niet in op de risico’s en kansen die ze zien, dit is immers concurrentiegevoelige informatie. Publieke organisaties hebben ook te maken met deze gevoelige informatie maar voelen zich wel vaak verplicht deze risico’s te benoemen. Wat mij betreft niet noodzakelijk. Als stakeholder zou ik liever lezen hoe ze er voor zorgen dat de organisatie te allen tijde alert blijft!

Fraude (Imtech bijvoorbeeld) buiten beschouwing gelaten valt mij ook op dat in private organisaties risico’s veel sneller op tafel komen. Uit de vele gesprekken die ik hierover voer valt mij op dat dit hoofdzakelijk komt doordat risico’s veel sneller voor de betrokkenen relevant worden. Ze voelen veel sneller zelf de gevolgen doordat het rechtstreeks invloed heeft op resultaten. Dit in tegenstelling bij publieke organisaties. De gevolgen van risico’s worden minder persoonlijk gevoeld en doordat publieke organisaties vaak met meerjarige begrotingen werken vallen de (financiële)gevolgen vaak weg in het totaal.

Deze laatste hobbel is de grootste uitdaging. We raken hier immer de cultuur van de organisatie. Het management van een publieke organisatie zal dus veel meer moeite moeten doen om risico’s positief bespreekbaar te krijgen. De juiste vragen stellen is cruciaal.

Welke vragen stelt u?


door Een reactie plaatsen

Ontspannen toezichthouders krijgen scherpe bestuurders

We gaan hier niet het antwoord geven op wanneer u een goede toezichthouder bent. Dat weet ik gewoonweg niet. Ik zie echter wel veel toezichthouders voorbij komen en deel hier de ervaringen.

comfortzoneEen rode draad die mij opvalt is de mate van ontspannenheid. En dan niet alleen wanneer het goed gaat maar ook wanneer het niet goed gaat. Weten wanneer je voor de bestuurder staat en wanneer er achter.

Ontspannen toezichthouders:

Stellen betere vragen, kennen ieder moment hun rol, helpen maar nemen niet over, zijn bereikbaar voor iedereen, zorgen voor een goede sfeer, houden van ondernemen en dus van risico’s, houden ook van verantwoording maar niet van bureaucratie, houden van een zelfverzekerde kwetsbare bestuurder, zien toezicht als 24/7/365 per jaar, durven zelf ook!, houden van alternatieven, hebben waardering voor gevoel, spreken zich uit, etc.

Een bestuurder met een ontspannen toezichthouder hoeft niet op scherp te worden gezet, dat staat hij continue!

 

Wat doet een toezichthouder die niet ontspannen is?


door Een reactie plaatsen

DE eigenschap van een professionele toezichthouder moet zijn…..

Verwondering

……VERWONDERING

Zou het kunnen?
Iedere keer weer aan tafel te gaan zitten en jezelf te verwonderen?
Echt vragen stellen zonder vooroordeel?
Vragen niet gebaseerd op je stokpaardjes?
Vragen oprecht vanuit je persoonlijke verantwoordelijkheidsgevoel?
Vragen vanuit de juiste intentie?
Vragen vanuit vertrouwen?
Niet om te controleren maar om te begrijpen?

Om dit kunnen moeten toezichthouders volgens mij veel afleren (het moeilijkste wat er is). Zullen we raden anders moeten samenstellen. De traditionele inrichting (accountant, oud-bestuurder, jurist, branchespecialist, etc) zou misschien niet meer volstaan. Immers, als je vanuit kennis en expertise wordt aangesteld ga je daar ook naar handelen. En je ziet dan alleen waar je naar kijkt.

Natuurlijk geldt ook hier dat een combinatie waarschijnlijk het beste werkt. Dit vraagt echt heel veel zorgvuldigheid bij de samenstelling en het functioneren van de Raad. Karaktereigenschappen, omgangsvormen, assertiviteit, sensitiviteit, introvert, extravert, emotioneel, etc. Allemaal zaken die naar mijn mening nu niet expliciet worden meegenomen bij de samenstelling van de Raad.

En degene die de Raad mag voorzitten mag de grootste verwonderaar zijn. Het schaap met de vijf poten? Alleen voorzitten en zorgen dat de goede beslissing genomen wordt en de juiste vragen door iedereen worden gesteld. Ga er maar aan staan. Je eigen ego volledig dienstbaar aan de vergadering opofferen.

zien jullie oud bestuurders/directeuren of moet ik zeggen beslissers dit al doen?


door Een reactie plaatsen

Risicomanagement draait om discipline en mentaliteit!

Vele organisaties geven hoog op over hun risicomanagement. Systemen zijn ingericht, mensen worden getraind op kennis en vaardigheden, het is onderdeel van de Planning en Control Cyclus, jaarlijks worden risicoanalyse gehouden, etc. We kennen allemaal het COSO model, de ISO 31000 norm, MOR wellicht ook nog. Aan alle vereisten wordt voldaan. Toch? geloof-in-eigen-kunnen

En we twijfelen allemaal of al deze inspanningen voldoende zijn. En bij twijfel gaan we nog meer doen / inrichten /rapporteren.

Waar draait het naar mijn mening echt om?

Discipline
Welke organisaties hebben de discipline risicobewust te handelen. Bij iedere beslissing de afweging te maken of de risico’s opwegen tegen de kansen. Staan ze in verhouding tot elkaar? Welke organisatie heeft de toewijding, het commitment om deze risicoafweging echt onderdeel uit te laten maken van iedere besluitvorming. En niet te wachten tot de volgde P&C Cyclus.

Mentaliteit
Om de discipline op te kunnen brengen is de juiste mentaliteit nodig. Risicoalertheid ontstaat als het onderdeel wordt van het denk- en gedragspatroon van de organisatie. Alleen dan bereik je dat we elkaar durven aan te spreken en erop te attenderen dat risicoalert handelen ons successen brengt. Deze mentaliteit maakt organisaties succesvol.

Systemen zijn op te zetten en te omzeilen, af te vinken. Kennis is te trainen en te vergeten. Vaardigheden zijn aan te leren en weer te vergeten. Als Mentaliteit en Discipline onderdeel zijn van het gedachtegoed van een organisatie valt er niet aan te ontkomen. Je bent onderdeel van de organisatie en anders past het niet! Rollen, verantwoordelijkheden en bevoegdheden zijn duidelijk en bespreekbaar op ieder moment.

En daarom, risicomanagement valt alleen als organisatie in z’n totaliteit te implementeren en niet ergens te beginnen en te hopen dat het overwaait.


door Een reactie plaatsen

Hoe maak je risicomanagement verrassend voor directie?

Voorbereiding is alles voor degene die een risicomanagement workshop mag begeleiden. Het is altijd spannend! Wat komt eruit? Hoe gaat men reageren? Gaat men het leuk vinden of ziet men het als iets verplicht? Is het een groepsproces of is het vechten voor aandacht? Kortom, een dynamische omgeving waarbij iedereen wel verwacht dat het iets oplevert.

Natuurlijk gaat risicomanagement erover dat er een gezamenlijk integraal beeld komt over de risico’s en de mate waarin deze worden beheerst. Er moet een open cultuur zijn en een goede link naar de strategie van het bedrijf. In mijn andere blogs en die van mijn collega’s wordt op deze zaken uitgebreid ingegaan.

Maar hoe zorg je er nu voor dat de directie (de mannen die echt wel denken te weten welke risico’s er binnen hun organisatie aanwezig zijn) positief verrast wordt?

Voorbereiding is alles. Doe een stakeholder analyse van het bedrijf en interview objectief de belangrijkste partner van het bedrijf. Vraag hoe zij tegen de organisatie aankijken, welke risico’s zij op de organisatie zien afkomen, welke trend ze in de branche zien, welke uitdagingen zij zien aankomen, etc. Onderstaand een niet limitatieve opsomming met wie je kunt praten:verrassing

  • De huisfinancier / bank;
  • Belangrijke klanten;
  • De huisjurist;
  • Het middenkader;
  • De accountant;
  • Een (groot) aandeelhouder;
  • Lid van de RvC;
  • etc.

Mijn ervaring leert dat met deze informatie je een prachtige aanvulling kunt doen op het risicoprofiel dat een directie zelf kan opstellen. En doordat men beseft waar deze inzichten vandaan komen faciliteer je een geweldige discussie over nieuwe risico’s waar ze zelf niet eerder gezamenlijk over gesproken hebben.

Dan zie je de kracht van goed voorbereid risicomanagement en is het niet meer de vraag of risicomanagement op de agenda komt.

Risicomanagement bepaalt de agenda!


door Een reactie plaatsen

Competenties of verstand van zaken?

Vandaag in het FD stelt Hans Dijkstra ‘als kennis van zaken en gezond boardroomverstand als selectiecriteria net zo zwaar wegen als veronderstelde ‘boardroomsocialisatie’ is er een overschot aan beschikbare competente commissarissen in Nederland.

Water loopt van boven naar beneden…….. Als het aan de top al zo is, wat kunnen we dan verwachten van de organisatie zelf?

Wie durft er OENige vragen te stelen (open, eerlijk en neutraal). We zeggen wel dat we dit willen en doen maar wat mij opvalt alleen op de makkelijke momenten. Als het echt ergens over gaat, wie staat er dan op?

Gisteren heb ik een verhaal gehouden over Strategisch Risicomanagement. Ik betrap mezelf erop dat ook ik begin met Missie, Visie, Speerpunten, Doelstellingen, Succesfactoren en Risicofactoren. Zou strategie bepaling niet moeten beginnen met de zelfevaluatie en misschien wel nieuwe selectie van degenen die het moeten bedenken en gaan doen?

Zomaar wat vragen:verandering

  1. Hoe goed is de mens in veranderen?
  2. Hoe snel adopteren we nieuwe werkwijzen?
  3. Als je er niet in gelooft, kun je het dan wel uitdragen?
  4. Wat doet het met je ego als je na 10 jaar het een te hebben gedaan nu het anders gaat doen?

En volgens mij speelt het bovenstaande in alle lagen van de organisatie. Immers, bij een nieuwe strategie horen nieuwe risico’s en een nieuwe risk appetite. Hoe moeilijk is het om te veranderen als mens van risico mijdend naar risico nemend?

In aansluiting op waar Hans Dijkstra mee begon; fundamentele veranderingen vraagt ook om andere mensen, dit is zo bij commissarissen, bij de rabobank en ook bij organisaties in het publieke bestel.