Verandering is tegenwoordig nog de enige constante. Digitalisering van bedrijfsvoering is een continue ontwikkeling. Systemen worden steeds meer met elkaar verbonden. Niet alleen binnen organisaties zelf maar ook tussen organisaties. En hoe houd je zicht op de risico’s die dit met zich meebrengt.
Operational controls worden steeds meer geautomatiseerd. Enerzijds door de softwareleveranciers en de garanties / certificaten die ze afgeven. Anderzijds door binnen de GRC software deze controls in hoogfrequentie te laten reviewen.
Toeleveranciers management
Sinds een kleine 10 jaar wordt het merendeel van de software als SAAS (Software as a Service) aangeboden. Cyber security / informatiebeveiliging is een issue voor al je toeleveranciers van deze software. Hoe goed ken je je toeleveranciers? En kun je dezelfde aanpak gebruiken voor je andere leveranciers? De aanpak kan immers vergelijkbaar zijn.
Assetmanagement
Data is een asset. Data heeft tegenwoorden een grotere waarde voor organisaties dan de reguliere assets die op de balans staan. Er zijn uitdagingen op het gebied van transparantie, kwaliteit, juistheid, privacy, wetgeving en maatschappelijke acceptatie. Alle zul je moeten beveiligen. Welke risicoafweging maak je? Doe je dit vanuit dezelfde risk appetite?
Wetgeving als concurrentievoordeel
Wet- en regelgeving loopt achter de actualiteit aan. Zeker in het geval van nieuwe technologien. Het anticiperen hierop kan een kernkwaliteit zijn en ervoor zorgen dat je kunt outperformen ten opzichte van je concurrenten.
Nieuwe technologie biedt kansen. Maar alleen als je heel goed in samenhang de risico’s die erbij horen kunt managen. Dit vraagt een continue afweging tussen deze risico’s, de mate van control en de prestatie waar je voor wilt staan als bedrijf.
Wat een energie als je dit in de vingers hebt. Het is niet voor niks dat de snelst groeiende bedrijven volop investeren in het automatiseren van Governance, Risk en Compliance!
Risicomanagement is niet nieuw! Iedere organisatie doet bewust of onbewust al heel veel aan risicomanagement. Bewust vaak op de financiële processen. Op alle andere processen vaak heel onbewust. Gelukkig maar want dit zijn over het algemeen wel de meest risicovolle processen.
Voordat je begint is het verstandig te bepalen wat je wilt bereiken met Risicomanagement. Wat mij betreft zijn dit maar een paar zaken:
1. Risicobewuste medewerkers;
2. Inzicht in de mate en vooruitgang van beheersing van je belangrijkste risico’s;
3. Inzicht in waar je moet bijsturen om je doelstellingen te realiseren.
De grootste valkuilen zijn:
* Eindeloze excellijsten met alleen maar risico’s;
* Op zoek naar schijnzekerheid door ingewikkelde formule’s en oorzaak-gevolg relaties te willen gebruiken;
* Geen aansluiting bij de medewerkers door iets op te leveren wat ze niet gebruiken in hun dagelijks werk;
* Geen aansluiting bij de vraag van intern en extern toezicht waardoor zaken dubbel gebeuren;
* Geen relatie te hebben met beslissingen die je wilt nemen!
Stap 1
Dit is de moeilijkste. Het volledige MT moet het erover eens zijn dat informatie over Risico’s, de mate van beheersing, het inzicht in Compliance en de bevindingen van Audit gebruikt worden om beslissingen te nemen. Dit betekent dus dat deze informatie mede leidend is en gefaciliteerd wordt om deze informatie op te halen.
Stap 2
Visualiseer je strategie. Met de woningwet van tegenwoordig moeten corporaties in staat zijn een duidelijke (SMART) strategie neer te zetten, gebaseerd op de prestatieafspraken. Je bent succesvol als corporatie op het moment dat je je strategie weet te realiseren. Mooie projecten realiseren die niet bijdragen aan de strategie dragen dus niet bij aan het succesvol zijn.
Maak een Strategiekaart waarin het voor alle medewerkers duidelijk is welke activiteiten je cruciaal vindt voor de corporatie. Hang deze op in de gang, in de kantine zodat er vaak over gesproken kan worden.
Stap 3
Gebruik de Strategiekaart als uitgangspunt van waaruit je de risicoanalyse start. 2-5 risico’s per succesfactor zijn meer dan genoeg om inzicht te krijgen waar de uitdagingen in de organisatie zitten. Doe dit met alle mensen die betrokken zijn bij de processen rondom zo’n succesfactor. Let goed op de kwaliteit van omschrijving, je gezamenlijk inschatting van impact en gebruik altijd voorbeelden ter illustratie. Dit maakt het repliceerbaar en blijft de context beschikbaar.
Benoem een eigenaar die verantwoordelijk blijft voor de opvolging van acties en kwaliteit van het beschreven risico.
Stap 4
Inventariseer wat er allemaal al gedaan wordt aan beheersing en bepaal of dit effectief is. Inventariseer vervolgens wat er meer of beter gedaan kan worden en leg duidelijk vast wat er verwacht wordt. Bepaal ook in welke frequentie dit gecontroleerd moet worden en wie ervoor verantwoordelijk is.
Stap 5
Zorg na iedere sessie dat de deelnemers direct een rapportage ontvangen met daarin het gedane werk en uitstaande acties. Zorg dat dit aansluit bij bestaande werkzaamheden. Kijk ook welke rapportages er nu al zijn en niet gebruikt worden. Deze zijn overbodig.
Optimaal is wanneer je met elkaar in 1 systeem werkt. Dit dwingt een uniforme en standaard taal af waarmee iedereen risico’s op dezelfde wijze beschrijft. Dit inzicht in onbetaalbaar, zowel voor begrip als voor het kunnen nemen van besluiten.
Stap 6
Als Riskmanager werk je samen met de Compliance Officer, de business controller en audit. Je hebt afstemming over de prioriteiten en je bent gezamenlijk de helpdesk voor de organisatie. Monitor de intensiteit van wijzigingen in het profiel, dat zegt echt wat of de organisatie risicobewust is.
Dit is direct hele relevante informatie voor toezichthouders, wiens taak het is om toezicht te houden op het risicomanagement en beheersysteem van de organisatie.
Stap 7 Incidenten zijn een onderschatte bron van informatie over wat er gebeurd in een organisatie. En dan hebben we het niet alleen over veiligheidsincidenten. Iedere verstoring in een normaal proces is een incident. Begin gewoon eenvoudig met het vastleggen hiervan en je zult ervaren dat dit veel inzicht geeft welke zaken vaak misgaan en waar over het algemeen ook snel wat aan gedaan kan worden.
Bij een grote projectgedreven organisatie levert het incidentenoverzicht sneller en meer inzicht op over de status van een project dan de mooie rapportages aan het einde van iedere maand. Het niet beschikbaar zijn van personeel of materieel, het niet rond hebben van de vergunning; allemaal incidenten waaruit je direct kan afleiden of het project wel of niet soepel begint.
Tot slot
Wees je er continue van bewust dat de informatie die je ophaalt uit de organisatie en ter bespreking voorlegt relevant moet zijn. Je doet het niet omdat het moet maar omdat het je helpt. Het heeft daarom ook geen zin om hier regels voor te introduceren. De juiste mensen willen dit omdat het ze tot betere prestaties leidt.
Het juiste management wil dit omdat het ze een fijnere, succesvollere, veiligere organisatie oplevert die doet waarvoor de organisatie bestaat.
Als bedrijf moet je gewoon aan de wet voldoen. En als bedrijf ben je er verantwoordelijk voor dat je dit bent.
Van iedere medewerker mag verwacht worden dat deze weet welke eisen vanuit wet of normen aan het werk gesteld worden. De organisatie moet hen hierbij helpen door het faciliteren van opleiding en training.
Overactieve Compliance Officer?
Wat ik het meeste tegenkom is dat de compliance officer, riskmanager, ICT manager, etc. zelf of door middel van interviews de informatie proberen vast te leggen. Fout! Op deze wijze krijg je nooit verantwoordelijkheidsgevoel op de plek waar het hoort. Bovendien zorgt dit er ook voor dat het altijd een individueel feestje blijft. Budget en capaciteit vrijmaken blijft dan altijd een gebedel.
Verantwoordelijkheid bij de medewerker
De ideale situatie krijg je door de medewerkers zelf te laten aangeven of ze wel of niet compliant zijn. Reik ze handvatten en tooling aan. Verzorg trainingen. Organiseer een vraagbaak. Maar zorg ervoor dat de mensen zelf schrijven! Dan maak je verantwoordelijkheid expliciet.
Zo krijg je zelf tijd om inzicht te verschaffen. Aan management en medewerkers. Je legt de zwakke plekken bloot en er is een samenhangend verhaal over waar budget en capaciteit nodig is om de organisatie te verbeteren.
100% Compliant bestaat niet! 100% inzicht wel!
Compliance kan niet zonder Risk en Audit functioneren. 100% compliant bestaat niet.
100% inzicht wel!
Risk als basis voor waar je absoluut compliant wilt zijn en daar waar je het niet bent zul je moeten kunnen uitleggen waarom (nog) niet. Welk plan ligt hierachter? Audit is nodig om de toezichthouder en het management comfort te geven over de kwaliteit van de beheersmaatregelen. Tegenwoordig is het niet acceptabel dat je als organisatie niet zeker bent over de status van de beheersmaatregelen op je belangrijkste risico’s.
De belangrijkste risico’s worden bepaald aan de hand van de relatie met de doelstellingen van de organisatie. Een powerfull instrument om keuzes te maken waar de schaarse middelen van de organisatie aan besteed kunnen worden om strategie te realiseren.
Regelmatig wordt deze vraag gesteld en iedere keer wordt er weer gegraven in mijn gestolde kennis (ervaring). Een paar overwegingen die ik met jullie wil delen zonder daar overigens nu al volledig in te willen zijn.
Publieke organisaties zijn veel meer gewend om (risico) verantwoording af te leggen over hun reilen en zeilen dan private organisaties. Waar private organisaties dit pas zijn gaan doen na de invoering van de Code Tabaksblat zit dit van oudsher al veel meer in het natuur van de publieke organisaties. Deze laatsten hebben altijd moeten functioneren met belangrijke stakeholders als gemeenten, zorgpartijen, woningcorporaties die allemaal in hetzelfde speelveld een rol hebben. In deze consternatie is verantwoording een vanzelfsprekendheid. Voor private partijen bleek de code Tabaksblat een struggle. ‘Pas toe of leg uit’ werd in het begin op verschillende wijze uitgelegd.
Private organisaties hebben de laatste jaren een flinke inhaalslag gemaakt. Daar waar veel publieke organisaties blijven hangen in de klassieke risicoparagraaf leggen private organisaties veel sterker de link tussen de performance en de daarbij behorende risico’s. In hun zogenaamde ‘sustainability reports’ gaat het erover hoe duurzaam hun strategie is en welke keuzen ze hierin gemaakt hebben. Qua risicomanagement gaat hun uitleg over hoe ze het hebben georganiseerd. Vanzelfsprekend gaan ze niet in op de risico’s en kansen die ze zien, dit is immers concurrentiegevoelige informatie. Publieke organisaties hebben ook te maken met deze gevoelige informatie maar voelen zich wel vaak verplicht deze risico’s te benoemen. Wat mij betreft niet noodzakelijk. Als stakeholder zou ik liever lezen hoe ze er voor zorgen dat de organisatie te allen tijde alert blijft!
Fraude (Imtech bijvoorbeeld) buiten beschouwing gelaten valt mij ook op dat in private organisaties risico’s veel sneller op tafel komen. Uit de vele gesprekken die ik hierover voer valt mij op dat dit hoofdzakelijk komt doordat risico’s veel sneller voor de betrokkenen relevant worden. Ze voelen veel sneller zelf de gevolgen doordat het rechtstreeks invloed heeft op resultaten. Dit in tegenstelling bij publieke organisaties. De gevolgen van risico’s worden minder persoonlijk gevoeld en doordat publieke organisaties vaak met meerjarige begrotingen werken vallen de (financiële)gevolgen vaak weg in het totaal.
Deze laatste hobbel is de grootste uitdaging. We raken hier immer de cultuur van de organisatie. Het management van een publieke organisatie zal dus veel meer moeite moeten doen om risico’s positief bespreekbaar te krijgen. De juiste vragen stellen is cruciaal.
Software kan de basis vormen voor goed risicomanagement, omdat het zorgt voor het voeren van de juiste discussie. Het doel van de software is dus niet om alles zo compleet mogelijk vast te leggen, dit is alleen handig bij risicoverantwoording. Dit is een wezenlijk onderscheid waar managers rekening mee moeten houden bij het selecteren van de juiste tool. Omdat hierover verschillende misverstanden bestaan, maar het een strategische afweging betreft, vind je in deze blog mijn selectiecriteria voor software voor risicomanagement.
Leverancier
Het begint direct bij de leverancier. De wereld verandert razendsnel en dit heeft natuurlijk effect op de software. Daarnaast is deze vaak nieuw en complex, dus heb je hulp nodig om er mee te kunnen werken. De informatie in het systeem dient in elk geval veilig te zijn en het contact met de leverancier moet soepel verlopen. Puntsgewijs:
Capaciteit. De mogelijkheid om door te ontwikkelen en veranderingen op te vangen.
Hulp. Een helpdesk voor snelle back-up is wenselijk.
Beveiliging. Risico-informatie bestaat uit cruciale gegevens die niet op straat mogen komen te liggen.
Stabiliteit. Kies een leverancier die verstand heeft van de software èn de inhoud.
Flexibiliteit. Ontwikkelingen gaan snel, hier moet een leverancier in mee kunnen gaan.
Inhoud. Leveranciers zonder inhoudelijke expertise zullen meer moeite hebben aansluiting te vinden met de risicomanagement uitdaging.
Meten
Een aantal zaken moet terugkomen in elke digitale risicomanagement tool. Software is goed geschikt om te meten en vergelijken. Zorg daarom dat in de tool in elk geval de volgende elementen zitten:
Stakeholder schema’s
Trendanalyses
Grafieken
Kosteneffectiviteit van beheersmaatregelen
Rapportages die gaan over inhoud en cultuur
Online en ander gemak
De hele wereld is online en dat heeft allerlei redenen, maar gemak en snelheid zijn er zeker twee van. Om de zekerheid te hebben dat de informatie in het systeem actueel is en de tool gebruiksvriendelijk, zijn de komende features van belang:
Toegang via web. Zo kan er op verschillende locaties gewerkt worden.
Smart applicaties. Hierdoor kan informatie eenvoudig ingevoerd en gedeeld worden.
Intuïtief. De tool moet logisch zijn, zeker om gebruik op de lange termijn te waarborgen.
Links met het web. Hierdoor kan externe kennis worden gebruikt.
Onbeperkt gebruik. Zodat klanten, nieuwe werknemers en andere betrokkenen de tool ook kunnen gebruiken.
Snelheid. Niemand wil in een traag systeem werken.
Ondersteuning
Goede software ondersteunt alle stappen van het risicomanagement proces. Het beheersen van planningen, maken van connecties en archiveren van data hoort hier uiteraard bij.
Tijdsplanninganalyse
Oorzaak- en gevolgschema’s
Risicoregister
Monte Carlo analyse
Verbinden
Een risicomanagement informatiesysteem dat goed geïmplementeerd is, hoeft niet persé met allerlei andere systemen te integreren. De manager moet wel op de hoogte zijn van de belangrijkste risico’s uit andere systemen. Het verbinden van resultaten vanuit verschillende kaders zorgt ervoor dat het management een goede integrale afweging kan maken.
Verandering is tegenwoordig nog de enige constante. Digitalisering van bedrijfsvoering is een continue ontwikkeling. Systemen worden steeds meer met elkaar verbonden. Niet alleen binnen organisaties zelf maar ook tussen organisaties. En hoe houd je zicht op de risico’s die dit met zich meebrengt.
Erik van Marle - Blog over risicomanagement 