Erik van Marle – Blog over risicomanagement

www.naris.com


1 reactie

Het Coronavirus als Extern Risico beschouwd

Ik hoop dat iedereen beseft hoe moeilijk het is om als overheid een afweging te maken in de huidige situatie rondom het Coronavirus. Het is echt niet het moment om op zoek te gaan naar fouten van de beslissers!

De waarde van Experts

En laten we ons alsjeblieft niet gek laten maken! Tetlock (2005) onderzocht over een periode van twintig jaar tienduizenden voorspellingen van honderden experts. Hij beoordeelde hoe goed ze waren in het schatten van waarschijnlijkheden en of ze in staat waren specifieke uitkomsten te voorspellen. De uitkomsten waren ronduit onthutsend maar bevestigen de conclusies van een groot aantal andere studies: de gemiddelde expert deed het niet veel beter dan een “dart-throwing chimp” die altijd op het statistisch gemiddelde uitkomt. Hoe gespecialiseerder en beroemder experts waren, hoe slechter ze bovendien bleken te presteren.

Specialisatie vernauwt het blikveld en vergroot de kans op het vinden van meer bewijs en gelijkgestemden om bestaande overtuigingen en gedane voorspellingen te bevestigen. Experts vallen niet alleen ten prooi aan dezelfde cognitieve biases als ieder ander, ze blijken door het koesteren van hun bekendheid en reputatie nog gevoeliger voor het maken van verkeerde inschattingen. Als experts eenmaal in boeken, presentaties en interviews een stelling hebben ingenomen, geven ze die niet snel op. Dezelfde media verleiden hen tegelijkertijd om bijzondere, afwijkende posities in te nemen om hun aantrekkingskracht en entertainmentwaarde voor toekomstige optredens te vergroten. (Bron artikel over externe risico’s in het maandblad voor accountancy en bedrijfseconomie, juli 2018, door Bood en Postma).

Risicomanagement

Als we naar de theorie van Risicomanagement kijken geeft dit namelijk al best duidelijke richtlijnen voor de aanpak van Externe risico’s. Als je ziet waar WEF (World Economic Forum) Infectioen diseases plaatst is dit in het quadrant Hoge Impact / Lage Kans.

Global Risk Report World Economic Forum

Beheersing

Kenmerkend voor de risico’s in dit quadrant is dat de beïnvloedbaarheid heel laag is. COSO geeft al aan dat dit soort risico’s allen geaccepteerd kunnen worden als de impact klein is, anders mitigeren of continuïteitsplannen klaar hebben liggen. De voor de hand liggende beheersing is om je te focussen op het inperken van de gevolgen. De oorzaak ligt immers buiten je invloedssfeer. Volledig in lijn met wat er nu met het Coronavirus aan de hand is.

Het ‘normale proces’ in het geval van Externe risico’s:

  • Bepaal in welke mate ze de bedrijfsvoering kunnen beïnvloeden;
  • Doordenk de verschillende scenario’s; worst / normal / best case;
  • Zorg dat er plannen (op hoofdlijnen is voldoende) klaarliggen om een eerste respons te kunnen geven. Over het algemeen bewegen dit soort risico’s zich langzaam en is er dus tijd om je voor te bereiden. Dit was ook zo bij het Coronavirus voor Europa;
  • Zorg dat er een vooraf doordachte lijst met mogelijke gevolgen klaar ligt;
  • Bedenk hoe de verschillende gevolgen beperkt kunnen worden;
  • Realiseer je dat bij dit soort risico’s maatregelen eigenlijk nooit rigide genoeg kunnen zijn. Watkins en Bazerman (2003) en Kaplan en Mikes (20120 gaven al aan dat et belangrijk is om hier het voorstellingsvermogen wat op te rekken.

Een aantal andere voorbeelden waaruit al blijkt dat we niet ver genoeg kunnen gaan in het bedenken / toepassen van maatregelen:

In geval van een brand wordt er meteen worst case gedacht en direct al het personeel geëvacueerd, direct naastgelegen gebouwen natgehouden, etc.

De recente cyber attacks hebben geleerd dat het alleen helpt als je alles platlegt en van daaruit opnieuw begint met opbouwen.

De terroristische aanslagen leren ons dat alleen volledige opschaling resultaat oplevert. Het heeft geen zin om stapsgewijs een gebied af te sluiten of mondjesmaat de hulpdiensten in te schakelen.

Ik ben heel blij dat we nu alles afsluiten en zo de verspreiding hopelijk kunnen tegengaan. Het openbaar vervoer ook nog? We hebben gewoon de kennis nog niet over hoe dit virus zich verspreidt en welke impact het heeft op levens. De enige manier om verspreiding tegen te gaan is het stopzetten van vervoer / contacten tussen personen.

Een mooi voorbeeld vind ik ook de maatregel uit de UK om de meest risicovolle groep van 70+ers echt thuis in quarantaine te zetten de komende 4 weken zodat de ziekenhuizen beschikbaar blijven voor de anderen. Zo zorg je ervoor dat de vitale ziekenhuis infrastructuur voor kan blijven functioneren!

Wens

Ik hoop vurig dat we deze crisis aangrijpen om van te leren zodat wij een volgende keer dit soort risico’s nog sneller onder controle zullen hebben. Zou het ons lukken om niet weer te verzanden in de eeuwige Schuldvraag? Media help eens!


Een reactie plaatsen

Ontspannen toezichthouders krijgen scherpe bestuurders

We gaan hier niet het antwoord geven op wanneer u een goede toezichthouder bent. Dat weet ik gewoonweg niet. Ik zie echter wel veel toezichthouders voorbij komen en deel hier de ervaringen.

comfortzoneEen rode draad die mij opvalt is de mate van ontspannenheid. En dan niet alleen wanneer het goed gaat maar ook wanneer het niet goed gaat. Weten wanneer je voor de bestuurder staat en wanneer er achter.

Ontspannen toezichthouders:

Stellen betere vragen, kennen ieder moment hun rol, helpen maar nemen niet over, zijn bereikbaar voor iedereen, zorgen voor een goede sfeer, houden van ondernemen en dus van risico’s, houden ook van verantwoording maar niet van bureaucratie, houden van een zelfverzekerde kwetsbare bestuurder, zien toezicht als 24/7/365 per jaar, durven zelf ook!, houden van alternatieven, hebben waardering voor gevoel, spreken zich uit, etc.

Een bestuurder met een ontspannen toezichthouder hoeft niet op scherp te worden gezet, dat staat hij continue!

 

Wat doet een toezichthouder die niet ontspannen is?


Een reactie plaatsen

DE eigenschap van een professionele toezichthouder moet zijn…..

Verwondering

……VERWONDERING

Zou het kunnen?
Iedere keer weer aan tafel te gaan zitten en jezelf te verwonderen?
Echt vragen stellen zonder vooroordeel?
Vragen niet gebaseerd op je stokpaardjes?
Vragen oprecht vanuit je persoonlijke verantwoordelijkheidsgevoel?
Vragen vanuit de juiste intentie?
Vragen vanuit vertrouwen?
Niet om te controleren maar om te begrijpen?

Om dit kunnen moeten toezichthouders volgens mij veel afleren (het moeilijkste wat er is). Zullen we raden anders moeten samenstellen. De traditionele inrichting (accountant, oud-bestuurder, jurist, branchespecialist, etc) zou misschien niet meer volstaan. Immers, als je vanuit kennis en expertise wordt aangesteld ga je daar ook naar handelen. En je ziet dan alleen waar je naar kijkt.

Natuurlijk geldt ook hier dat een combinatie waarschijnlijk het beste werkt. Dit vraagt echt heel veel zorgvuldigheid bij de samenstelling en het functioneren van de Raad. Karaktereigenschappen, omgangsvormen, assertiviteit, sensitiviteit, introvert, extravert, emotioneel, etc. Allemaal zaken die naar mijn mening nu niet expliciet worden meegenomen bij de samenstelling van de Raad.

En degene die de Raad mag voorzitten mag de grootste verwonderaar zijn. Het schaap met de vijf poten? Alleen voorzitten en zorgen dat de goede beslissing genomen wordt en de juiste vragen door iedereen worden gesteld. Ga er maar aan staan. Je eigen ego volledig dienstbaar aan de vergadering opofferen.

zien jullie oud bestuurders/directeuren of moet ik zeggen beslissers dit al doen?


Een reactie plaatsen

Risicomanagement draait om discipline en mentaliteit!

Vele organisaties geven hoog op over hun risicomanagement. Systemen zijn ingericht, mensen worden getraind op kennis en vaardigheden, het is onderdeel van de Planning en Control Cyclus, jaarlijks worden risicoanalyse gehouden, etc. We kennen allemaal het COSO model, de ISO 31000 norm, MOR wellicht ook nog. Aan alle vereisten wordt voldaan. Toch? geloof-in-eigen-kunnen

En we twijfelen allemaal of al deze inspanningen voldoende zijn. En bij twijfel gaan we nog meer doen / inrichten /rapporteren.

Waar draait het naar mijn mening echt om?

Discipline
Welke organisaties hebben de discipline risicobewust te handelen. Bij iedere beslissing de afweging te maken of de risico’s opwegen tegen de kansen. Staan ze in verhouding tot elkaar? Welke organisatie heeft de toewijding, het commitment om deze risicoafweging echt onderdeel uit te laten maken van iedere besluitvorming. En niet te wachten tot de volgde P&C Cyclus.

Mentaliteit
Om de discipline op te kunnen brengen is de juiste mentaliteit nodig. Risicoalertheid ontstaat als het onderdeel wordt van het denk- en gedragspatroon van de organisatie. Alleen dan bereik je dat we elkaar durven aan te spreken en erop te attenderen dat risicoalert handelen ons successen brengt. Deze mentaliteit maakt organisaties succesvol.

Systemen zijn op te zetten en te omzeilen, af te vinken. Kennis is te trainen en te vergeten. Vaardigheden zijn aan te leren en weer te vergeten. Als Mentaliteit en Discipline onderdeel zijn van het gedachtegoed van een organisatie valt er niet aan te ontkomen. Je bent onderdeel van de organisatie en anders past het niet! Rollen, verantwoordelijkheden en bevoegdheden zijn duidelijk en bespreekbaar op ieder moment.

En daarom, risicomanagement valt alleen als organisatie in z’n totaliteit te implementeren en niet ergens te beginnen en te hopen dat het overwaait.


Een reactie plaatsen

Hoe maak je risicomanagement verrassend voor directie?

Voorbereiding is alles voor degene die een risicomanagement workshop mag begeleiden. Het is altijd spannend! Wat komt eruit? Hoe gaat men reageren? Gaat men het leuk vinden of ziet men het als iets verplicht? Is het een groepsproces of is het vechten voor aandacht? Kortom, een dynamische omgeving waarbij iedereen wel verwacht dat het iets oplevert.

Natuurlijk gaat risicomanagement erover dat er een gezamenlijk integraal beeld komt over de risico’s en de mate waarin deze worden beheerst. Er moet een open cultuur zijn en een goede link naar de strategie van het bedrijf. In mijn andere blogs en die van mijn collega’s wordt op deze zaken uitgebreid ingegaan.

Maar hoe zorg je er nu voor dat de directie (de mannen die echt wel denken te weten welke risico’s er binnen hun organisatie aanwezig zijn) positief verrast wordt?

Voorbereiding is alles. Doe een stakeholder analyse van het bedrijf en interview objectief de belangrijkste partner van het bedrijf. Vraag hoe zij tegen de organisatie aankijken, welke risico’s zij op de organisatie zien afkomen, welke trend ze in de branche zien, welke uitdagingen zij zien aankomen, etc. Onderstaand een niet limitatieve opsomming met wie je kunt praten:verrassing

  • De huisfinancier / bank;
  • Belangrijke klanten;
  • De huisjurist;
  • Het middenkader;
  • De accountant;
  • Een (groot) aandeelhouder;
  • Lid van de RvC;
  • etc.

Mijn ervaring leert dat met deze informatie je een prachtige aanvulling kunt doen op het risicoprofiel dat een directie zelf kan opstellen. En doordat men beseft waar deze inzichten vandaan komen faciliteer je een geweldige discussie over nieuwe risico’s waar ze zelf niet eerder gezamenlijk over gesproken hebben.

Dan zie je de kracht van goed voorbereid risicomanagement en is het niet meer de vraag of risicomanagement op de agenda komt.

Risicomanagement bepaalt de agenda!


Een reactie plaatsen

Competenties of verstand van zaken?

Vandaag in het FD stelt Hans Dijkstra ‘als kennis van zaken en gezond boardroomverstand als selectiecriteria net zo zwaar wegen als veronderstelde ‘boardroomsocialisatie’ is er een overschot aan beschikbare competente commissarissen in Nederland.

Water loopt van boven naar beneden…….. Als het aan de top al zo is, wat kunnen we dan verwachten van de organisatie zelf?

Wie durft er OENige vragen te stelen (open, eerlijk en neutraal). We zeggen wel dat we dit willen en doen maar wat mij opvalt alleen op de makkelijke momenten. Als het echt ergens over gaat, wie staat er dan op?

Gisteren heb ik een verhaal gehouden over Strategisch Risicomanagement. Ik betrap mezelf erop dat ook ik begin met Missie, Visie, Speerpunten, Doelstellingen, Succesfactoren en Risicofactoren. Zou strategie bepaling niet moeten beginnen met de zelfevaluatie en misschien wel nieuwe selectie van degenen die het moeten bedenken en gaan doen?

Zomaar wat vragen:verandering

  1. Hoe goed is de mens in veranderen?
  2. Hoe snel adopteren we nieuwe werkwijzen?
  3. Als je er niet in gelooft, kun je het dan wel uitdragen?
  4. Wat doet het met je ego als je na 10 jaar het een te hebben gedaan nu het anders gaat doen?

En volgens mij speelt het bovenstaande in alle lagen van de organisatie. Immers, bij een nieuwe strategie horen nieuwe risico’s en een nieuwe risk appetite. Hoe moeilijk is het om te veranderen als mens van risico mijdend naar risico nemend?

In aansluiting op waar Hans Dijkstra mee begon; fundamentele veranderingen vraagt ook om andere mensen, dit is zo bij commissarissen, bij de rabobank en ook bij organisaties in het publieke bestel.


Een reactie plaatsen

De controller moet meer durven!

De tijd dat de controller alle open eindjes oploste is en moet voorbij. Uit de vele incidenten, waarbij organisaties te grote risico’s hebben genomen, is gebleken dat de rol van de managementlaag niet goed wordt ingevuld. Wie voelt en neemt waarvoor verantwoordelijkheid?

In mijn optiek heeft het management onder meer de taak om elkaar en in het bijzonder een ambitieuze bestuurder van reflectie te voorzien. Doen we de goede dingen, past het binnen onze strategie, hebben we voldoende kennis, kunnen we het qua mensen aan, komen we tot goede besluitvorming, past het binnen onze risk appetite, etc.

In de praktijk kom ik te vaak tegen dat de controller de rapportages voorbereid en daar waar MT leden gaten laten vallen de controller ze wel even snel opvult. Dit gebeurt zowel in de besluitvorming binnen het MT als in verantwoordingsstukken naar de RvC. Deze vliegende keep functie lijkt heel vriendelijk. Echter, in werkelijkheid ontneem je verantwoordelijken, toezichthouders, het zicht op de echte risico’s. Wat heb je als integraal verantw

Vaardigheden

oordelijk MT aan een mooi ingevulde spreadsheet als deze is ingevuld door 1 persoon vanuit een financiële bril? NIETS, je krijgt alleen een beeld van de financiële gevolgen maar niet of de oorzaken van deze risico’s ook bekend zijn bij de echte verantwoordelijken en of ze goed beheerst worden.

De rol van de controller is om iets te vinden van de taakopvatting van de verantwoordelijken. Alleen dan creëer je een risicobewuste organisatie! Het is immers een vaststaand feit dat er zaken misgaan in een organisatie. De organisaties die het snelst hun fouten weten op te lossen zijn het meest succesvol!

Controllers, ga de uitdaging aan om op een positief kritische manier iets te vinden van het risicobewuste gedrag van je organisatie. Dit vraagt aanvullende
vaardigheden
en veel overleg met bestuur, MT en toezichthouders. Immers, iets vinden van iemands functioneren doe je om het geheel beter te laten functioneren. Afrekenen hoort hier dus niet bij.

De nieuwe controller wordt een uitermate belangrijke voelspriet voor bestuur en toezichthouders.


Een reactie plaatsen

De lessen van een goede balans tussen risico’s en plezier

24 uurs race 2013 037Mijn laatste zeilvakanties hebben mij weer veel inspiratie opgedaan en veel geleerd over hoe je risico en fun met elkaar kunt combineren. Het lekkere gevoel komt op de momenten wanneer we, onder het genot van een drankje veilig in de haven, de reis evalueren.  In het heetst van de strijd, in een wedstrijd of in gevecht met de natuurelementen is daar natuurlijk geen tijd voor.

Op vakantie hebben we regelmatig tegen elkaar gezegd dat het zo’n mooie tocht was omdat we op tijd onze zeilvoering hadden aangepast. Het is meerdere malen gebeurd dat tijdens de tocht de windkracht toenam van 3 bft naar 6 bft. Van spinnaker varen naar gereefd grootzeil en genua. Heerlijk zo’n tocht waarbij je geen moment het gevoel hebt gehad dat er geen controle was. Een veilig gevoel, belangrijk voor de rust in de familie en het plezier in zeilen. Dit ondanks veranderende omstandigheden, toenemende onzekerheden, etc.
In een zeilwedstrijd gaat het om de snelheid van handelen. Degene die de wedstrijd wint is meestal degene die de minste fouten maakt en ze het snelste weet op te lossen. In een team waarin communicatie, timing, kennis van zaken en veiligheid continue met elkaar in balans moeten zijn worden continue kleine vergissingen begaan. Voor ons was het een eerste seizoen met spinnaker, dus veel nieuwe handelingen. Het gaf mij de meeste kick dat in een van de laatste wedstrijden we 2 grote vergissingen beginnen maar we ze beiden in no-time hadden hersteld. Sneller dan onze concurrenten en dus goed voor de einduitslag!
Wat kunnen we er van leren:
  • Shit happens! Er zullen altijd zaken zijn die niet zo lopen als verwacht;
  • Anticiperen wordt makkelijker als je vooraf afspraken maakt in welke omstandigheden actie geboden is;
  • Continue je omgeving in de gaten houden en er naar handelen;
  • Beter iets te vroeg reageren dan te laat. Tijd geeft rust om goed te handelen;
  • Oefening baart kunst, bepaalde scenario’s moet je gewoon oefenen;
  • Duidelijke taakverdeling verhoogt routine en zorgt voor minder regels en procedures;
  • Iedereen is gelijk en heeft dezelfde stem omdat alles van elkaar afhankelijk is, de kapitein doet de coördinatie en bepaalt de volgorde;
  • Duidelijke instructies vooraf zorgt voor minder miscommunicatie;
  • Evalueren kan alleen in een veilige haven.


Een reactie plaatsen

Explosie van Risicomanagement Systemen

In deze tijden van crisis waarin iedereen de broekriem moet aanhalen is er veel aandacht voor bedrijfsvoering en niet voorde toegevoegde waarde van wat de organisatie oplevert. Het maakt hierbij niet uit of het gaat om onderwijs, woningcorporaties of zorginstellingen.

In combinatie met de groeiende eis van risicobeheersing leidt dit langzamerhand tot een explosie van risicomanagement systemen. Op het gebied van kwaliteit, compliance, tactisch, operationeel, strategisch, financieel, juridisch, veiligheid, etc.

spinnaker

Hoe meer risico er gevonden kan worden hoe meer er mis kan gaan! Met als gevolg dat niemand meer onderneemt.

Als we er maar in slagen om alles wat mis kan gaan vast te leggen kunnen we ons in ieder geval verantwoorden, lijkt de gedachte.

In mijn ogen hebben we het dan niet over risicomanagement systemen en vertroebelt dit soort informatie juist het beeld naar een heldere strategie. Je krijgt wat je vraag! Als een bestuurder of toezichthouder vraagt om details krijg je details maar zal het meer moeite kosten om zicht te krijgen op het totaal.

Zicht op risico’s leidt tot betere besluitvorming en helpt bestuurders en toezichthouders de juiste analyses te maken. Dit vraagt wel de nodige kennis en vaardigheden om boven de materie uit te kunnen stijgen. Doen we als organisatie de goede dingen en doen we ze goed? Staan de risico’s die we onontbeerlijk lopen in verhouding tot de opbrengsten?

Laten we dus ophouden om verantwoording te koppelen aan risicomanagement en dan zullen we concluderen dat er maar weinig systemen zijn die bestuurders en toezichthouders echt helpen om beslissingen te kunnen nemen.

Food for thought tijdens een lekkere vakantie!


Een reactie plaatsen >

De commissie Halsema doet er goed aan om, niet zoals tot op heden gebruikelijk is vanuit een mooi theoretisch of maatschappelijk kader allerlei normen te gaan formuleren, aan te sluiten bij de beweging die in een groep van zeer verantwoordelijke toezichthouders is ingezet. Onder de titel ‘Waar is de raad van toezicht, deel III’ hebben 51 toezichthouders een moreel kompas voor hun eigen toezicht geschreven. Ongeveer 650 toezichthouders willen zich hieraan committeren. Zij geven aan dat deze nieuwe ‘beroepsgroep’ heel goed zelf in staat is om een moreel kompas te schrijven en hebben daarvoor geen regeringscommissie nodig.

IMG_118313 juni jl. presenteerden de toezichthouders de Verklaring Ambitieus Toezicht. Het onderzoek van het Zijlstra Center en NAR dat daaraan voorafging was gericht op de vraag of toezichthouders inmiddels een eigen richting en koers kunnen formuleren: wat zijn  de ambities van de toezichthouders zelf? De Verklaring geeft een compleet overzicht van ambities die allemaal beginnen met de combinatie: ‘ik wil….’. Ik wil ruimte om zelf informatie te verkrijgen. Ik wil ruimte om meer vanuit mijn gevoeld te opereren. Ik wil mijn werkgeverschap van het bestuur beter invullen. En nog een twintigtal andere ambities.

Opvallende uitspraken:

aansprakelijkheid gaan we niet uit de weg : in beginsel is de toezichthouder overal voor aanspreekbaar en overal voor aansprakelijk. Dat is toch tamelijk moedig.En: toezichthouders die zich laten neppen door bestuurders die willens en wetens informatie achterhouden of verdraaien zijn daarvoor zelf verantwoordelijk.

Toezichthouders die voortijdig uit onvrede opstappen moeten dit gaan melden, bijvoorbeeld bij de externe toezichthouder (de rijks inspecties). Toezichthouden in de non-profitsector wordt gezien als een complexe activiteit waarbij gedrag van toezichthouders van groot belang is: gedrag bepaalt of normen, waarden en codes worden nageleefd.

Er moet 1 register komen over alle verenigingen heen, waarin professionele toezichthouders zichzelf verenigen en continue uitdagen naar verbetering.

 

Scholing en intervisie is een vereiste, men moet veel meer van elkaar gaan leren en dat kan alleen door ervaringen te delen.

Kortom: een ambitieus kader voor toezichthouders is neergelegd en kan dienen voor de discussie in menig raad van toezicht of raad van commissarissen.

Tijdens de presentatie van het boekje werd ook opgemerkt dat de weg naar de hemel is geplaveid met ambities, maar dat het aankomt op daden. Dat is zonder meer terecht, maar niet eerder zijn de ambities van de toezichthouders zelf opgetekend. Journalisten, politici en wetenschappers weten maar al te goed in theorie wat toezichthouders moeten doen of – in geval van de bekenden incidenten – hadden moeten doen. We zijn er een meester in om commentaar te geven zodra het kalf verdronken is. Dat er op dit moment tientallen instellingen voor heel moeilijke afwegingen zitten, staat echter nauwelijks in de belangstelling. Het daarom juist van belang dat er een verklaring ligt die hier een bijdrage aan levert.

Hebben we dan geen behoefte meer aan de commissie Halsema? Wel zeker! Er is nog veel werk te doen: de semipublieke sector telt circa 30.000 toezichthouders! Maar belangrijker is dat er aansluiting komt tussen de verschillende bewegingen en dat we zo met elkaar houding en gedrag beïnvloeden en structureel veranderen. Wie neemt als eerste actie?

 

 

Meer informatie:

Waar is de raad van toezicht? Deel III

De Verklaring van ambitieus toezicht

Auteurs: Goos Minderman, Sjors van den Berg, Gerdien Bikker-Trouwborst, Erik van Marle, Paul Simons, Mark Somers en Esther Spetter

Uitg. Boom|Lemma, 2013, 79 pagina’s, ISBN 978‐90‐5931‐997‐4

Een videofilmpje met de verklaring van ambitieus toezicht: http://www.youtube.com/playlist?list=PLj6eIhommAIo5SBvNgLo38dyfpaTVsiY4