Control framework / integraal risicoprofiel / onzekerheden / risicoanalyse / risicobeheersing / risicoidentificatie / risicomanagement / three lines of defence / www.naris.com

Watermeloen Model als basis voor risk control

Geplaatst door

In deze blog leg ik het watermeloen model verder uit. Eerder heeft Erik van Marle dit model omschreven in zijn blog  “Verschillende implementatiemodellen op een rij en Best Practice Watermeloen+ model”.

Maar eerst; waar komt de term watermeloen model vandaan? De kern ligt in het feit dat veel organisaties onderliggende afdelingen laten rapporteren met stoplichtkleuren; Rood, oranje en groen. Het gedrag dat hiermee opgeroepen wordt, is natuurlijk dat iedereen zijn of haar afdeling zo groen mogelijk presenteert; met ons gaat alles goed en wij zijn in control. Maar hoe groener een afdeling zich presenteert hoe meer je moet opletten. Groen van buiten kan heel goed rood van binnen zijn= watermeloen.

Over welke risico’s gaat het?

Het gaat hier om de operationele of te voorkomen risico’s van organisaties. Voor de strategische en externe risico’s vanuit het model Kaplan is een andere aanpak noodzakelijk.

Operationele risico’s zijn risico’s die door de organisatie beïnvloedbaar zijn en hebben te maken met  interne processen, mensen en systemen. Door dergelijke risico’s kunnen organisaties in grote problemen komen en bijv. hun licence to operate verliezen. Maar met zo veel processen, processtappen zijn er vooral heel veel operationele risico’s. Hoe hou je het overzicht en hoe haal je de noodzakelijke informatie uit de organisatie?

Hoe haal je informatie op?

Het watermeloen model richt zich op de wijze waarop de 2e lijn informatie ophaalt bij de eerste lijn. Dit werkt vaak niet goed door:

  • Andere focus van de 1e lijn. De eerste lijn is druk, bezig met de business. Zij zit dus vaak niet te wachten op lastige vragen. Als naar risico’s wordt gevraagd zullen zij het liefst globale antwoorden geven of juist risico’s noemen die nu net niet belangrijk zijn.
  • Ook met formats of dialogen de organisatie in leidt tot een rommelig risicoprofiel met risico’s rijp en groen door elkaar.
  • Onkunde over risicomanagement en definities (oorzaak-gebeurtenis-gevolg) waardoor kwaliteit van hetgeen aangeleverd wordt onvoldoende is.
  • Onkunde over de verschillende type risico’s. Als 1e lijn is het lastig de actualiteiten bij te houden over cyberrisico’s, informatiebeveiliging, fraude, juridisch, privacy en financiën. De vraag is dus of echt integraal management nog bestaat?
Risico's uit de organisatie ophalen
Voor/nadelen verschillende manieren om risico’s uit de organisatie te halen

Het watermeloen model

Het Watermeloen model richt zich meer op de kwaliteit en volledigheid van bekende risico’s en controls.  Deze operationele risico’s en controls worden vastgesteld door de 2e  lijn.

De 1e lijn zal moeten aangeven welke risico’s al dan niet van toepassing zijn. En ook welke controls ‘in place’ zijn. En of zij het rest risico accepteren.

Het vraagt dus nadrukkelijk meer voorbereidingstijd van de 2e lijn en is veel directiever naar de 1e  lijn.  De 2e lijn dient keuzes te maken en prioriteiten stellen welke risico’s en controls het belangrijkste zijn voor het voorbestaan van de organisatie.

Stappen op weg naar watermeloen model

  1. Vaststellen risk confrol framework;
    1. Doelstelling
    1. Standaard processen, risico’s en controls.
    1. Noodzakelijke reporting intern maar ook extern.
  2. Breng processen in beeld. Dit mag op hoofdlijnen zijn.
  3. Stel de key risks en key controls per proces. Dit proces vraagt wel een samenwerking van de verschillende 2e lijn activiteiten. Ook moet het een groeimodel zijn waarbij niet elke 2e lijn specialist 100 risico’s en controls wil uitvragen.
  4. Uitrol en begeleiding van de RCF naar de eerste lijn. Dit is een wereld op zich maar kern is dat je echt de eerste lijn helpt. Ook dient er een ritme te ontstaan van informatie ophalen, valideren en rapporteren.
  5. Integrale RCF of dashboard. Het integrale beeld alleen al zorgt voor groepsdruk in de organisatie. De ene afdeling heeft meer controls dan de ander.

Watermeloen+ Model

Een uitbreiding op het Watermeloen model kan door de 1e lijn nog meer informatie te vragen. Dit met name op de assurance van controls. De 1e lijn moet aangeven of ze de controls ook daadwerkelijk getest hebben en of ze evidence kunnen bijvoegen. Hiermee bereiken we een zo goed als volledige In Control Verklaring met benodigd dossier, opgesteld en verantwoord door de 1e lijn. De 2e lijn vervult een duidelijk rol van adviseur en begeleider. De 3e lijn kan een objectief advies geven over opzet, bestaan en werking.

3 comments

Plaats een reactie